Vulnerability-Lookup

CVE-2024-39600 (GCVE-0-2024-39600)

Vulnerability from cvelistv5 – Published: 2024-07-09 04:19 – Updated: 2024-08-02 04:26

Title

[CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows

Summary

Under certain conditions, the memory of SAP GUI for Windows contains the password used to log on to an SAP system, which might allow an attacker to get hold of the password and impersonate the affected user. As a result, it has a high impact on the confidentiality but there is no impact on the integrity and availability.

Severity ?

5 (Medium)


                        
                          CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N

CWE

CWE-200 - Exposure of Sensitive Information to an Unauthorized Actor

Assigner

sap

References

2 references

URL	Tags
https://url.sap/sapsecuritypatchday
https://me.sap.com/notes/3461110

Impacted products

1 product

Vendor	Product	Version
SAP_SE	SAP GUI for Windows	Affected: BC-FES-GUI 8

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-39600",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-07-09T15:13:45.725094Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-07-09T15:13:54.457Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      },
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T04:26:16.037Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://url.sap/sapsecuritypatchday"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "https://me.sap.com/notes/3461110"
          }
        ],
        "title": "CVE Program Container"
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "SAP GUI for Windows",
          "vendor": "SAP_SE",
          "versions": [
            {
              "status": "affected",
              "version": "BC-FES-GUI 8"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "Under certain conditions, the memory of SAP GUI\nfor Windows contains the password used to log on to an SAP system, which might\nallow an attacker to get hold of the password and impersonate the affected\nuser. As a result, it has a high impact on the confidentiality but there is no\nimpact on the integrity and availability.\n\n\n\n"
            }
          ],
          "value": "Under certain conditions, the memory of SAP GUI\nfor Windows contains the password used to log on to an SAP system, which might\nallow an attacker to get hold of the password and impersonate the affected\nuser. As a result, it has a high impact on the confidentiality but there is no\nimpact on the integrity and availability."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "HIGH",
            "attackVector": "LOCAL",
            "availabilityImpact": "NONE",
            "baseScore": 5,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "HIGH",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-200",
              "description": "CWE-200: Exposure of Sensitive Information to an Unauthorized Actor",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2024-07-09T04:19:47.498Z",
        "orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
        "shortName": "sap"
      },
      "references": [
        {
          "url": "https://url.sap/sapsecuritypatchday"
        },
        {
          "url": "https://me.sap.com/notes/3461110"
        }
      ],
      "source": {
        "discovery": "UNKNOWN"
      },
      "title": "[CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows",
      "x_generator": {
        "engine": "Vulnogram 0.2.0"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
    "assignerShortName": "sap",
    "cveId": "CVE-2024-39600",
    "datePublished": "2024-07-09T04:19:47.498Z",
    "dateReserved": "2024-06-26T09:58:24.096Z",
    "dateUpdated": "2024-08-02T04:26:16.037Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "epss": {
      "cve": "CVE-2024-39600",
      "date": "2026-05-14",
      "epss": "0.00058",
      "percentile": "0.17976"
    },
    "nvd": "{\"cve\":{\"id\":\"CVE-2024-39600\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2024-07-09T05:15:13.147\",\"lastModified\":\"2025-01-22T18:33:47.870\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Under certain conditions, the memory of SAP GUI\\nfor Windows contains the password used to log on to an SAP system, which might\\nallow an attacker to get hold of the password and impersonate the affected\\nuser. As a result, it has a high impact on the confidentiality but there is no\\nimpact on the integrity and availability.\"},{\"lang\":\"es\",\"value\":\"Bajo ciertas condiciones, la memoria de SAP GUI para Windows contiene la contrase\u00f1a utilizada para iniciar sesi\u00f3n en un sistema SAP, lo que podr\u00eda permitir a un atacante obtener la contrase\u00f1a y hacerse pasar por el usuario afectado. Como resultado, tiene un alto impacto en la confidencialidad pero no hay impacto en la integridad y disponibilidad.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N\",\"baseScore\":5.0,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"HIGH\",\"privilegesRequired\":\"HIGH\",\"userInteraction\":\"REQUIRED\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":0.6,\"impactScore\":4.0},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N\",\"baseScore\":4.2,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"HIGH\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":0.6,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-200\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"NVD-CWE-Other\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:gui_for_windows:8.0:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"74ED382C-6C84-4C2F-BF8E-51AC10DB3611\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3461110\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://url.sap/sapsecuritypatchday\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3461110\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://url.sap/sapsecuritypatchday\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-39600\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-07-09T15:13:45.725094Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-07-09T15:13:50.250Z\"}}], \"cna\": {\"title\": \"[CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"CHANGED\", \"version\": \"3.1\", \"baseScore\": 5, \"attackVector\": \"LOCAL\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N\", \"integrityImpact\": \"NONE\", \"userInteraction\": \"REQUIRED\", \"attackComplexity\": \"HIGH\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"HIGH\", \"confidentialityImpact\": \"HIGH\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP_SE\", \"product\": \"SAP GUI for Windows\", \"versions\": [{\"status\": \"affected\", \"version\": \"BC-FES-GUI 8\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://url.sap/sapsecuritypatchday\"}, {\"url\": \"https://me.sap.com/notes/3461110\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.2.0\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"Under certain conditions, the memory of SAP GUI\\nfor Windows contains the password used to log on to an SAP system, which might\\nallow an attacker to get hold of the password and impersonate the affected\\nuser. As a result, it has a high impact on the confidentiality but there is no\\nimpact on the integrity and availability.\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"Under certain conditions, the memory of SAP GUI\\nfor Windows contains the password used to log on to an SAP system, which might\\nallow an attacker to get hold of the password and impersonate the affected\\nuser. As a result, it has a high impact on the confidentiality but there is no\\nimpact on the integrity and availability.\\n\\n\\n\\n\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-200\", \"description\": \"CWE-200: Exposure of Sensitive Information to an Unauthorized Actor\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2024-07-09T04:19:47.498Z\"}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2024-39600\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-07-09T15:13:54.457Z\", \"dateReserved\": \"2024-06-26T09:58:24.096Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2024-07-09T04:19:47.498Z\", \"assignerShortName\": \"sap\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.1"
    }
  }
}

WID-SEC-W-2024-1551

Vulnerability from csaf_certbund - Published: 2024-07-08 22:00 - Updated: 2024-07-08 22:00

Summary

SAP Software: Mehrere Schwachstellen

Severity

Mittel

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung: SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff: Ein Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, Cross-Site-Scripting (XSS)-Angriffe durchzuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren.

Betroffene Betriebssysteme: - Linux - Sonstiges - UNIX - Windows

CVE-2024-34685

In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder höhere Privilegien, um erfolgreich ausgenutzt zu werden.

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-34689

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-34692

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37171

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37172

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37173

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37174

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37175

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-37180

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39593

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39594

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39595

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39596

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39597

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39598

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39599

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

CVE-2024-39600

Affected products

Known affected 1 product

Product	Identifier	Version	Remediation
SAP Software SAP	`cpe:/a:sap:sap:-`	—

References

20 references

URL	Category
https://wid.cert-bund.de/.well-known/csaf/white/2…	self
https://wid.cert-bund.de/portal/wid/securityadvis…	self
https://support.sap.com/en/my-support/knowledge-b…	external
https://nvd.nist.gov/vuln/detail/CVE-2024-34685	external
https://nvd.nist.gov/vuln/detail/CVE-2024-34689	external
https://nvd.nist.gov/vuln/detail/CVE-2024-34692	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37171	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37172	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37173	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37174	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37175	external
https://nvd.nist.gov/vuln/detail/CVE-2024-37180	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39593	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39594	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39595	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39596	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39597	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39598	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39599	external
https://nvd.nist.gov/vuln/detail/CVE-2024-39600	external

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erh\u00f6hen, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges\n- UNIX\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-1551 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1551.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-1551 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1551"
      },
      {
        "category": "external",
        "summary": "SAP Patchday July 2024 vom 2024-07-08",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2024.html"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-34685"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-34689"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-34692"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37171"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37172"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37173"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37174"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37175"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-37180"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39593"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39594"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39595"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39596"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39597"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39598"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39599"
      },
      {
        "category": "external",
        "summary": "NIST Vulnerability Database vom 2024-07-08",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39600"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Software: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-07-08T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:11:00.957+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-1551",
      "initial_release_date": "2024-07-08T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-07-08T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T031077",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-34685",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-34685"
    },
    {
      "cve": "CVE-2024-34689",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-34689"
    },
    {
      "cve": "CVE-2024-34692",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-34692"
    },
    {
      "cve": "CVE-2024-37171",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37171"
    },
    {
      "cve": "CVE-2024-37172",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37172"
    },
    {
      "cve": "CVE-2024-37173",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37173"
    },
    {
      "cve": "CVE-2024-37174",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37174"
    },
    {
      "cve": "CVE-2024-37175",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37175"
    },
    {
      "cve": "CVE-2024-37180",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-37180"
    },
    {
      "cve": "CVE-2024-39593",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39593"
    },
    {
      "cve": "CVE-2024-39594",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39594"
    },
    {
      "cve": "CVE-2024-39595",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39595"
    },
    {
      "cve": "CVE-2024-39596",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39596"
    },
    {
      "cve": "CVE-2024-39597",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39597"
    },
    {
      "cve": "CVE-2024-39598",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39598"
    },
    {
      "cve": "CVE-2024-39599",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39599"
    },
    {
      "cve": "CVE-2024-39600",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese Fehler bestehen in verschiedenen Produkten wie Netweaver, Business Workflow, Enable Now, Transportation Management, S/4HANA, CRM WebClient, Commerce, Business Warehouse und anderen aufgrund verschiedener sicherheitsrelevanter Probleme. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand erzeugen, vertrauliche Informationen offenzulegen oder Daten zu manipulieren. Einige dieser Schwachstellen erfordern entweder eine Benutzerinteraktion oder h\u00f6here Privilegien, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2024-07-08T22:00:00.000+00:00",
      "title": "CVE-2024-39600"
    }
  ]
}

FKIE_CVE-2024-39600

Vulnerability from fkie_nvd - Published: 2024-07-09 05:15 - Updated: 2025-01-22 18:33

Severity ?

5.0 (Medium) - CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N
4.2 (Medium) - CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N

Summary

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3461110	Permissions Required
cna@sap.com	https://url.sap/sapsecuritypatchday	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3461110	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://url.sap/sapsecuritypatchday	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	gui_for_windows	8.0

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:sap:gui_for_windows:8.0:*:*:*:*:*:*:*",
              "matchCriteriaId": "74ED382C-6C84-4C2F-BF8E-51AC10DB3611",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "Under certain conditions, the memory of SAP GUI\nfor Windows contains the password used to log on to an SAP system, which might\nallow an attacker to get hold of the password and impersonate the affected\nuser. As a result, it has a high impact on the confidentiality but there is no\nimpact on the integrity and availability."
    },
    {
      "lang": "es",
      "value": "Bajo ciertas condiciones, la memoria de SAP GUI para Windows contiene la contrase\u00f1a utilizada para iniciar sesi\u00f3n en un sistema SAP, lo que podr\u00eda permitir a un atacante obtener la contrase\u00f1a y hacerse pasar por el usuario afectado. Como resultado, tiene un alto impacto en la confidencialidad pero no hay impacto en la integridad y disponibilidad."
    }
  ],
  "id": "CVE-2024-39600",
  "lastModified": "2025-01-22T18:33:47.870",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "HIGH",
          "attackVector": "LOCAL",
          "availabilityImpact": "NONE",
          "baseScore": 5.0,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "HIGH",
          "scope": "CHANGED",
          "userInteraction": "REQUIRED",
          "vectorString": "CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 0.6,
        "impactScore": 4.0,
        "source": "cna@sap.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "LOCAL",
          "availabilityImpact": "NONE",
          "baseScore": 4.2,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "HIGH",
          "scope": "UNCHANGED",
          "userInteraction": "REQUIRED",
          "vectorString": "CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 0.6,
        "impactScore": 3.6,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2024-07-09T05:15:13.147",
  "references": [
    {
      "source": "cna@sap.com",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3461110"
    },
    {
      "source": "cna@sap.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://url.sap/sapsecuritypatchday"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3461110"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://url.sap/sapsecuritypatchday"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Analyzed",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-200"
        }
      ],
      "source": "cna@sap.com",
      "type": "Secondary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "NVD-CWE-Other"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    }
  ]
}

CERTFR-2024-AVI-0554

Vulnerability from certfr_avis - Published: 2024-07-09 - Updated: 2024-07-09

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products

Vendor	Product	Description
SAP	N/A	Enable Now versions antérieures à WPB_MANAGER_HANA 10 sans le dernier correctif de sécurité
SAP	N/A	Business Workflow (WebFlow Services) versions antérieures à SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
SAP	N/A	Enable Now versions antérieures à WPB_MANAGER_CE 10 sans le dernier correctif de sécurité
SAP	N/A	Business Warehouse - Business Planning and Simulation versions antérieures à SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 sans le dernier correctif de sécurité
SAP	N/A	Commerce versions antérieures à HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
SAP	N/A	Enable Now versions antérieures à ENABLE_NOW_CONSUMP_DEL 1704 sans le dernier correctif de sécurité
SAP	N/A	CRM WebClient UI versions antérieures à S4FND 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité WEBCUIF 701, 731, 746, 747, 748, 800, 801
SAP	N/A	CRM WebClient UI versions antérieures à S4FND 104 sans le dernier correctif de sécurité
SAP	N/A	PDCE versions antérieures à S4CORE 102 et 103 sans le dernier correctif de sécurité
SAP	N/A	Business Warehouse - Business Planning and Simulation versions antérieures à SAP_BW_VIRTUAL_COMP 701 sans le dernier correctif de sécurité
SAP	N/A	S/4HANA Finance (Advanced Payment Management) versions antérieures à S4CORE 107 et 108 sans le dernier correctif de sécurité
SAP	N/A	NetWeaver Application Server for ABAP and ABAP Platform versions antérieures à SAP_BASIS 700,701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 795 et 796 sans le dernier correctif de sécurité
SAP	N/A	GUI pour Windows versions antérieures à BC-FES-GUI 8 sans le dernier correctif de sécurité
SAP	N/A	NetWeaver Knowledge Management XMLEditor versions antérieures à KMC-WPC 7.50 sans le dernier correctif de sécurité
SAP	N/A	CRM WebClient UI versions antérieures à WEBCUIF 701, 731, 746, 747, 748, 800, 801 sans le dernier correctif de sécurité
SAP	N/A	PDCE versions antérieures à S4COREOP 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité

References

Title

Publication Time

BDU:2024-11641

Vulnerability from fstec - Published: 09.07.2024

Title

Уязвимость графического интерфейса пользователя SAP GUI для Windows, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Description

Уязвимость графического интерфейса пользователя SAP GUI для Windows связана с отображением пароля, используемого для входа в систему SAP в результате недостаточной защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Severity ?


                    
                      AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N

Vendor

SAP

Software Name

SAP GUI

Software Version

BC-FES-GUI 8 (SAP GUI)

Possible Mitigations

Использование рекомендаций: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2024.html

Reference

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2024.html https://vuldb.com/?id.270567

CWE

CWE-200

JSON

To clipboard

{
  "CVSS 2.0": "AV:L/AC:H/Au:S/C:C/I:N/A:N",
  "CVSS 3.0": "AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N",
  "CVSS 4.0": null,
  "remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
  "remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
  "\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "SAP",
  "\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "BC-FES-GUI 8 (SAP GUI)",
  "\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439: \nhttps://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2024.html",
  "\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "09.07.2024",
  "\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "27.12.2024",
  "\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "27.12.2024",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2024-11641",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2024-39600",
  "\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
  "\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u044b",
  "\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "SAP GUI",
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": "Microsoft Corp Windows - ",
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f SAP GUI \u0434\u043b\u044f Windows, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u0441\u043b\u0443\u0436\u0435\u0431\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u043c\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438",
  "\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u0420\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 (CWE-200)",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f SAP GUI \u0434\u043b\u044f Windows \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u0435\u043c \u043f\u0430\u0440\u043e\u043b\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0433\u043e \u0434\u043b\u044f \u0432\u0445\u043e\u0434\u0430 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 SAP \u0432 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u044b \u0441\u043b\u0443\u0436\u0435\u0431\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u043c\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438",
  "\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
  "\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
  "\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
  "\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u041d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0441\u0431\u043e\u0440 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438",
  "\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2024.html\nhttps://vuldb.com/?id.270567",
  "\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
  "\u0422\u0438\u043f \u041f\u041e": "\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e",
  "\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-200",
  "\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041d\u0438\u0437\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 3,8)\n\u0421\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 5)"
}

GHSA-G274-V7WR-8CMQ

Vulnerability from github – Published: 2024-07-09 06:30 – Updated: 2024-07-09 06:30

Details

Severity ?

5.0 (Medium)


                  
                    CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-39600"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-200"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-07-09T05:15:13Z",
    "severity": "MODERATE"
  },
  "details": "Under certain conditions, the memory of SAP GUI\nfor Windows contains the password used to log on to an SAP system, which might\nallow an attacker to get hold of the password and impersonate the affected\nuser. As a result, it has a high impact on the confidentiality but there is no\nimpact on the integrity and availability.",
  "id": "GHSA-g274-v7wr-8cmq",
  "modified": "2024-07-09T06:30:40Z",
  "published": "2024-07-09T06:30:40Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-39600"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3461110"
    },
    {
      "type": "WEB",
      "url": "https://url.sap/sapsecuritypatchday"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

Sightings

Author	Source	Type	Date	Other

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted

CVE-2024-39600 (GCVE-0-2024-39600)

WID-SEC-W-2024-1551

FKIE_CVE-2024-39600

CERTFR-2024-AVI-0554

Solutions

BDU:2024-11641

GHSA-G274-V7WR-8CMQ

Tags

Sightings

Nomenclature