Multiple Products

Die Schwachstelle betrifft mehrere Server-Produkte von SAP – darunter die Anwendungsserver der NetWeaver-Plattform in den Varianten ABAP und Java, die ABAP-Plattform selbst sowie den Content Server und den Web Dispatcher, der als vorgelagerter Verteiler für Web-Anfragen dient. Ursache ist eine fehlerhafte Verarbeitung von HTTP-Anfragen: Der Defekt erlaubt das sogenannte Request Smuggling und das Zusammenfügen mehrerer Anfragen. Ein Angreifer kann aus der Ferne und ohne Anmeldung der eigentlichen Anfrage eines Opfers beliebige eigene Daten voranstellen. Auf diese Weise kann er im Namen des Opfers Funktionen ausführen und dessen Identität vortäuschen oder zwischengeschaltete Web-Caches mit manipulierten Inhalten vergiften, sodass diese präparierte Antworten an weitere Nutzer ausliefern. Ein erfolgreicher Angriff kann Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems vollständig untergraben. Besonders gefährdet sind Umgebungen, in denen die genannten Komponenten Anfragen über Zwischeninstanzen entgegennehmen.