NetWeaver

Die Schwachstelle steckt in der Universal-Worklist-Konfiguration von SAP NetWeaver, genauer im Java-basierten Anwendungsserver (AS JAVA). Die Universal Worklist ist eine Komponente, die Aufgaben und Benachrichtigungen für Benutzer zentral zusammenführt. Über einen speziell präparierten HTTP-Aufruf an diese Konfiguration kann ein Angreifer vertrauliche Benutzerinformationen auslassen. Der Angriff lässt sich aus der Ferne durchführen: Es genügt, eine entsprechend manipulierte Anfrage an den Server zu senden, ohne dass dafür ein direkter Zugang zum System nötig ist. Im Ergebnis gelangt der Angreifer an sensible Daten über Benutzer, die eigentlich geschützt sein sollten. Betroffen ist die genannte Java-Variante des NetWeaver-Anwendungsservers. Da NetWeaver als zentrale Plattform für SAP-Geschäftsanwendungen dient, können die so offengelegten Informationen für weiterführende Angriffe auf das Unternehmensumfeld genutzt werden.