9 stycznia 2024 r. firma SAP opublikowała porady dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje krytyczne dla następujących elementów:
• Biblioteka integracji usług bezpieczeństwa SAP BTP @sap/xssec – wersje wcześniejsze niż 3.6.0
• Biblioteka routerów aplikacji SAP @sap/approuter – wersja 14.4.2
• SAP Edge Integration Cell – wersje 8.9.13 i nowsze
Link | Opis/CVE | CVSS |
3413475 | [Wiele CVE] Eskalacja uprawnień w komórce integracji SAP Edge Komponenty: BC-CP-IS-EDG-DPL Kategoria: Błąd programu | 9.1 |
3412456 | [CVE-2023-49583] Eskalacja uprawnień w aplikacjach opracowanych dzięki SAP Business Application Studio, SAP Web IDE Full-Stack i SAP Web IDE dla SAP HANA Komponenty: CA-BAS-S8D Kategoria: Błąd programu | 9.1 |
3411067 | [Wiele CVE] Eskalacja uprawnień w bibliotekach integracji usług bezpieczeństwa SAP Business Technology Platform (BTP) Komponenty: BC-CP-CF-SEC-LIB Kategoria: Błąd programu | 9.1 |
3411869 | [CVE-2024-21737] Luka polegająca na wstrzykiwaniu kodu w SAP Application Interface Framework (adapter plików) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | 8.4 |
3389917 | [CVE-2023-44487] Odmowa usługi (DOS) w SAP Web Dispatcher, serwerze aplikacji SAP NetWeaver ABAP i platformie ABAP Komponenty: BC-CST-IC Kategoria: Błąd programu | 7.5 |
3386378 | [CVE-2024-22125] Luka umożliwiająca ujawnienie informacji w rozszerzeniu przeglądarki Microsoft Edge (łącznik SAP GUI dla Microsoft Edge) Komponenty: BC-FES- Kategoria: Błąd programu | 7.4 |
3407617 | [CVE-2024-21735] Nieprawidłowa kontrola autoryzacji na serwerze replikacji SAP LT Komponenty: CA-LT-SLT Kategoria: Błąd programu | 7.3 |
3260667 | [CVE-2024-21736] Brak kontroli autoryzacji w SAP S/4HANA Finance (zaawansowane Komponenty: FIN-FSCM-PF-IHB Kategoria: Błąd programu | 6.4 |
3324732 | [CVE-2023-31405] Luka polegająca na wstrzykiwaniu dziennika w SAP NetWeaver AS for Java (przeglądarka logów) Komponenty: BC-JAS-SEC Kategoria: Błąd programu | 5.3 |
3392626 | [CVE-2024-22124] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Internet Communication Manager Komponenty: BC-CST-IC Kategoria: Błąd programu | 4.1 |
3387737 | [CVE-2024-21738] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w serwerze aplikacji SAP NetWeaver ABAP i platformie ABAP Komponenty: BC-SRV-COM Kategoria: Błąd programu | 4.1 |
3190894 | [CVE-2024-21734] Luka w zabezpieczeniach związana z przekierowaniem adresu URL w SAP Marketing (aplikacja Kontakty) Komponenty: CEC-MKT-DM-CON Kategoria: Błąd programu | 3.7 |