Customer Relationship Management (CRM)

Die Schwachstelle betrifft das Customer Relationship Management (CRM) von SAP, eine Software zur Verwaltung von Kundenbeziehungen. Der Fehler liegt darin, dass die Anwendung Pfadangaben, die ein Benutzer übermittelt, nur unzureichend prüft. Dadurch werden Zeichenfolgen, die einen Wechsel in das übergeordnete Verzeichnis bewirken, ungefiltert an die Datei-Schnittstellen weitergereicht. Ein Angreifer kann auf diese Weise aus dem vorgesehenen Verzeichnis ausbrechen und auf Dateien außerhalb des eigentlich zulässigen Bereichs zugreifen – ein klassischer Path-Traversal-Angriff. Je nach Konfiguration lassen sich so Dateien lesen oder ansprechen, die dem Angreifer eigentlich nicht zugänglich sein sollten, was vertrauliche Informationen des Systems offenlegen kann. Betroffen sind Installationen der CRM-Software, deren Dateifunktionen über manipulierte Pfadangaben erreichbar sind.