NetWeaver

Die Schwachstelle steckt in der Java-Variante des Anwendungsservers von SAP NetWeaver, konkret in der Komponente für die Bearbeitung von Geschäftsprozess-Aufgaben (Business Process Management Desktop). Dort verarbeitet der Server XML-Daten, die ein Nutzer über eine bestimmte Web-Schnittstelle einreicht. Weil die XML-Verarbeitung sogenannte externe Entitäten zulässt, kann ein angemeldeter Benutzer aus der Ferne präparierte XML-Inhalte einschleusen, die den Server dazu bringen, externe Ressourcen einzubinden – ein klassischer XML-External-Entity-Angriff (XXE). Auf diesem Weg lassen sich typischerweise lokale Dateien des Servers auslesen oder interne Systeme über den Server ansprechen, die von außen sonst nicht erreichbar wären. Voraussetzung ist ein gültiges Benutzerkonto auf dem System; eine vollständig anonyme Ausnutzung ist nicht möglich. Betroffen sind Installationen, die diese Prozess-Komponente auf der Java-Plattform des Anwendungsservers bereitstellen.