Commerce Cloud

Die Schwachstelle betrifft die E-Commerce-Plattform SAP Commerce Cloud, die früher unter dem Namen Hybris bekannt war. Ursache ist eine unsichere Deserialisierung nicht vertrauenswürdiger Daten – also das Einlesen von Objektdaten, deren Herkunft nicht geprüft wird. Sie tritt in den Erweiterungen für die virtuelle JDBC-Anbindung sowie für die Medienkonvertierung auf. Über diesen Fehler kann ein Angreifer manipulierte Daten einschleusen, die beim Deserialisieren in ausführbaren Code umgesetzt werden. Im Ergebnis lässt sich beliebiger Code auf dem Zielsystem ausführen, und zwar mit den Rechten des Hybris-Benutzers, unter dem die Plattform läuft. Damit handelt es sich um eine Form der Code-Injection: Der Angreifer übernimmt die Kontrolle über die betroffene Anwendung und kann auf dem Server eigene Befehle ausführen. Betroffen sind Installationen, in denen die genannten Erweiterungen aktiv sind.