NetWeaver

Die Schwachstelle betrifft die Java-Ausführung des SAP NetWeaver Application Servers und steckt in einer Komponente der Scheduler-Weboberfläche, die zur Auslieferung von Skriptdateien dient. Es handelt sich um einen Verzeichniswechsel-Fehler (Directory Traversal): Die Komponente prüft den über die URL übergebenen Dateipfad nicht ausreichend. Ein Angreifer kann in der Abfragezeichenkette Pfadangaben mit “..” (Punkt-Punkt) einschleusen und so aus dem vorgesehenen Verzeichnis ausbrechen. Dadurch lassen sich beliebige Dateien des Servers auslesen, auf die der Webserver-Prozess Zugriff hat – etwa Konfigurationsdateien mit Zugangsdaten oder andere sensible Inhalte. Der Angriff erfolgt aus der Ferne und erfordert keine vorherige Anmeldung; es genügt eine entsprechend präparierte Anfrage an die betroffene Adresse. Da NetWeaver als zentrale Anwendungsplattform in vielen SAP-Umgebungen läuft, kann der Abfluss interner Dateien weitere Angriffe vorbereiten. Die Lücke wurde bereits aktiv ausgenutzt.