КиберосноваSGRC
BDU:2024-10527
Средний

BDU:2024-10527: Уязвимость программной интеграционной платформы SAP NetWeaver AS ABAP и SAP ABAP Platform, связанная с разыменованием нулевого указателя, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v35.3
CVSS v25.0
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2024-10527

Описание

Уязвимость программной интеграционной платформы SAP NetWeaver AS ABAP и SAP ABAP Platform связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2024-10527

Уязвимость среднего уровня (CVSS 5.3) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.3Средний
Пересчитать →
v2
5.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:LAV:N/AC:L/Au:N/C:N/I:N/A:P

CWE — тип уязвимости

CWE-476

CVE — международный идентификатор

CVE-2024-47586
CWE-476
Разыменование нулевого указателя

Обращение к нулевому указателю. Приводит к аварийному завершению программы (DoS).

Как атакуют и что делать ▾

Сценарий атаки

Программа обращается к нулевому указателю — аварийное завершение. Атакующий вызывает условие повторяемо.

Последствия

Отказ в обслуживании (DoS), в редких случаях — выполнение кода.

Рекомендации

Проверяйте указатели перед разыменованием, используйте Optional/nullable-типы.

Тактики и техники

Манипулирование структурами данных

Уязвимое ПО (24)

ВендорНазваниеВерсияПлатформа
SAPSAP ABAP PlatformKRNL64UC 7.22Не указана
SAPSAP NetWeaver As ABAP7.22Не указана
SAPSAP NetWeaver As ABAP7.53Не указана
SAPSAP NetWeaver As ABAP7.77Не указана
SAPSAP NetWeaver As ABAP8.04Не указана
SAPSAP NetWeaver As ABAPkrnl64uc 7.22Не указана
SAPSAP NetWeaver As ABAPkernel 7.22Не указана
SAPSAP ABAP PlatformKERNEL 7.22Не указана
SAPSAP NetWeaver As ABAP7.22EXTНе указана
SAPSAP NetWeaver As ABAP7.89Не указана
SAPSAP NetWeaver As ABAP7.54Не указана
SAPSAP NetWeaver As ABAP7.93Не указана
SAPSAP ABAP Platform7.22Не указана
SAPSAP ABAP Platform7.22EXTНе указана
SAPSAP ABAP Platform7.53Не указана
SAPSAP ABAP Platform8.04Не указана
SAPSAP ABAP Platform7.54Не указана
SAPSAP ABAP Platform7.77Не указана
SAPSAP ABAP Platform7.89Не указана
SAPSAP ABAP Platform7.93Не указана
SAPSAP ABAP Platform9.12Не указана
SAPSAP ABAP Platform9.13Не указана
SAPSAP NetWeaver As ABAP9.12Не указана
SAPSAP NetWeaver As ABAP9.13Не указана

Рекомендации по устранению

Использование рекомендаций: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.3

Уточните SLA под вашу среду

Базовый балл 5.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации0.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2024-11-12

Опубликована

2024-12-02

Обновлена

2024-12-02

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2024-47586 MITRE: CWE-476 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-15899
Высокий
5.5

язвимость системы поиска Enterprise Search программной интеграционной платформы SAP ABAP Platform, позволяющая нарушител

BDU:2025-16306
Средний
4.9

Уязвимость программной интеграционной платформы SAP NetWeaver ABAP, связанная с отсутствием авторизации, позволяющая нар

BDU:2025-10640
Средний
4.3

Уязвимость программных интеграционных платформ SAP NetWeaver и ABAP Platform, связанная с отсутствием авторизации, позво

BDU:2025-10643
Высокий
8.1

Уязвимость программных интеграционных платформ SAP NetWeaver ABAP Server и ABAP Platform, связанная с применением однофа

BDU:2025-16082
Средний
4.3

Уязвимость инструмента Service Data Control Center (SDCCN) программных интеграционных платформ SAP NetWeaver и ABAP Plat

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0