NetWeaver

Die Schwachstelle befindet sich im UDDI-Server der J2EE-Engine von SAP NetWeaver, einer zentralen Plattform für Geschäftsanwendungen. UDDI dient dabei der Registrierung und dem Auffinden von Web-Diensten. Es handelt sich um eine SQL-Injection: Eingaben, die an den Server übergeben werden, fließen ungeprüft in Datenbankabfragen ein, sodass ein Angreifer eigene SQL-Befehle in diese Abfragen einschleusen kann. Ausnutzbar ist die Lücke aus der Ferne über das Netzwerk; der genaue Eingabeweg ist nicht näher spezifiziert. Gelingt der Angriff, kann der Angreifer beliebige SQL-Kommandos auf der angebundenen Datenbank ausführen – also gespeicherte Daten auslesen, verändern oder löschen und je nach Konfiguration weiter in das System eindringen. Betroffen sind Systeme, die diese NetWeaver-Komponente einsetzen und deren UDDI-Server erreichbar ist. Da NetWeaver geschäftskritische Daten verwaltet, wiegt ein unbefugter Datenbankzugriff hier besonders schwer.