NetWeaver

Die Schwachstelle steckt in der Visual-Composer-Laufzeitkomponente von SAP NetWeaver, einer weit verbreiteten Anwendungsplattform für Geschäftssoftware. Der Defekt besteht darin, dass das Hochladen von Dateien nicht eingeschränkt wird: Ein Angreifer, der lediglich als normaler Benutzer ohne Administratorrechte angemeldet ist, kann über das Netzwerk eine bösartige Datei hochladen und deren Verarbeitung auslösen. Dabei lassen sich Betriebssystembefehle ausführen – und zwar mit den Rechten des Java-Serverprozesses, unter dem die Plattform läuft. Auf diese Weise kann der Angreifer beliebige Daten auf dem Server auslesen oder verändern oder den Server gezielt herunterfahren und damit lahmlegen. Da nur ein gewöhnliches Benutzerkonto und ein Netzwerkzugang nötig sind, ist die Hürde für einen erfolgreichen Angriff niedrig, während die möglichen Folgen bis zur vollständigen Kompromittierung des betroffenen Servers reichen.