14 lutego 2023 r. firma SAP udostępniła comiesięczne poprawki do produktów, które mają istotne implikacje w zakresie bezpieczeństwa dla swoich klientów.
- SNotatka 20622600, zatytułowana „Aktualizacje zabezpieczeń dla kontroli przeglądarki Google Chromium dostarczane z SAP Business Client”, usuwa lukę w zabezpieczeniach z wynikiem CVSS 10,0. Google Chrome w SAP Business Client otrzymuje comiesięczne aktualizacje. Jednak ocena luk w zabezpieczeniach jest często wysoka, dlatego nie należy lekceważyć związanego z nimi ryzyka. W zależności od wrażliwości danych przetwarzanych przez aplikację, poprawka powinna zostać zainstalowana niezwłocznie.
- Notatka SNota 3271091, zatytułowana „Luka w zabezpieczeniach związana z eskalacją uprawnień w rozwiązaniu SAP Business Planning and Consolidation”, dotyczy luki w zabezpieczeniach z oceną CVSS 8,5. Łatka została zaktualizowana i dostępna jest wersja 6. Złośliwy użytkownik może wykonać funkcję nieautoryzowanej transakcji. W określonych okolicznościach udany atak może umożliwić przeciwnikowi zwiększenie uprawnień w celu odczytania, zmiany lub usunięcia danych systemowych.
- Notatka SNote 3256787, zatytułowana „Nieograniczone przesyłanie plików w SAP BusinessObjects Business Intelligence Platform”, dotyczy luki w zabezpieczeniach z wynikiem CVSS 8,4. Do wykorzystania tej luki można używać tylko uwierzytelnionych i uprzywilejowanych kont. Jednak po udanym wykorzystaniu atakujący może wykonać operacje, które mogą całkowicie zagrozić aplikacji, powodując duży wpływ na poufność, integralność i dostępność aplikacji.
- Notatka SNote 3285757, zatytułowana „Luka w zabezpieczeniach związana z eskalacją uprawnień w agencie hosta SAP (usługa startowa)”, usuwa lukę w zabezpieczeniach z oceną CVSS 8,8. Użytkownik niebędący administratorem z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent Service może wykonać polecenie systemu operacyjnego z uprawnieniami administratora, przesyłając specjalnie spreparowane żądanie usługi internetowej. To polecenie może uzyskiwać dostęp i modyfikować dane użytkownika i systemu, potencjalnie powodując awarię systemu.
- Notatka SNota 3263135, zatytułowana „Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence”, usuwa lukę w zabezpieczeniach z oceną CVSS 8,5. Uwierzytelniona osoba atakująca może uzyskać dostęp do poufnych informacji objętych ograniczeniami za pośrednictwem platformy SAP BusinessObjects Business Intelligence. Wykorzystanie tej luki w zabezpieczeniach umożliwiającej ujawnienie informacji może mieć znaczący wpływ na poufność i ograniczony wpływ na integralność aplikacji.
| Link | Opis | Krytyczność | CVSS |
| 2622660 | Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programu | Krytyczna | 10,0 |
| 3271091 | [CVE-2022-41268] Luka w zabezpieczeniach związana z eskalacją uprawnień w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW Kategoria: Błąd programu | Wysoka | 8,5 |
| 3256787 | [CVE-2023-24530] Nieograniczone przesyłanie plików w SAP BusinessObjects Business Intelligence Platform (CMC) Komponenty: BI-BIP-CMC Kategoria: Błąd programu | Wysoka | 8,4 |
| 3287291 | [CVE-2023-23854] Brak kontroli autoryzacji w SAP NetWeaver AS ABAP i ABAP Platform Komponenty: BC-DWB-TOO-ABA Kategoria: Błąd programu | Niska | 3,8 |
| 3285757 | [CVE-2023-24523] Luka w zabezpieczeniach związana z eskalacją uprawnień w agencie hosta SAP (Uruchom usługę) Komponenty: BC-CCM-HAG Kategoria: Błąd programu | Wysoka | 8,8 |
| 2788178 | [CVE-2023-24525] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w interfejsie użytkownika SAP CRM WebClient Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programu | Średnia | 4,3 |
| 2985905 | [CVE-2023-24524] Brak sprawdzania autoryzacji w SAP S/4 HANA Mapa Dane formatu korespondencji dotyczącej skarbu Komponenty: CA-GTF-CSC-DME Kategoria: Błąd programu | Średnia | 6,5 |
| 3275841 | [CVE-2023-23851] Nieograniczone przesyłanie plików w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-INF Kategoria: Błąd programu | Średnia | 5,4 |
| 3293786 | [CVE-2023-23858] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-ABA-LA Kategoria: Błąd programu | Średnia | 6,1 |
| 3281724 | [CVE-2023-0019] Brak kontroli autoryzacji w SAP GRC (Kontrola procesu) Komponenty: GRC-SPC-AC Kategoria: Błąd programu | Średnia | 6,5 |
| 3290901 | [CVE-2023-24528] Brak kontroli autoryzacji w aplikacjach SAP Fiori do zarządzania podróżami w SAP ERP (Moje wnioski o podróż) Komponenty: FI-TV-ODT-MTR Kategoria: Błąd programu | Średnia | 6,5 |
| 3282663 | [CVE-2023-24529] Luka Cross-Site Scripting (XSS) w SAP NetWeaver AS ABAP (aplikacja Business Server Pages) Komponenty: CA-GTF-PCF Kategoria: Błąd programu | Średnia | 6,1 |
| 3274585 | [CVE-2023-25614] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programu | Średnia | 6,1 |
| 3269118 | [CVE-2023-24522] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programu | Średnia | 6,1 |
| 3269151 | [CVE-2023-24521] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programu | Średnia | 6,1 |
| 3271227 | [CVE-2023-23853] Luka w zabezpieczeniach związana z przekierowaniem adresu URL w serwerze aplikacji SAP NetWeaver dla platformy ABAP i ABAP Komponenty: BC-MID-ICF Kategoria: Błąd programu | Średnia | 6,1 |
| 3268959 | [Wiele CVE] Liczne luki w SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-MID-AC Kategoria: Błąd programu | Średnia | 6,1 |
| 3266751 | [CVE-2023-23852] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w rozwiązaniu SAP Solution Manager 7.2 Komponenty: SV-SMG-MON-SYS Kategoria: Błąd programu | Średnia | 6,1 |
| 3265846 | [CVE-2023-0024] Skrypty między lokacjami w SAP Solution Manager (aplikacja BSP) Komponenty: SV-SMG-SVD-SWB Kategoria: Błąd programu | Średnia | 6,5 |
| 3267442 | [CVE-2023-0025] Cross Site Scripting w SAP Solution Manager (aplikacja BSP) Komponenty: SV-SMG-SVD-SWB Kategoria: Błąd programu | Średnia | 6,5 |
| 3270509 | [CVE-2023-23855] Luka w zabezpieczeniach związana z przekierowaniem adresu URL w SAP Solution Manager Komponenty: SV-SMG-OP Kategoria: Błąd programu | Średnia | 6,5 |
| 3263135 | [CVE-2023-0020] Luka umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Wysoka | 8,5 |
| 3263863 | [CVE-2023-23856] Luka w zabezpieczeniach związana z atakami typu Cross-Site Scripting (XSS) w interfejsie Web Intelligence Komponenty: BI-RA-WBI-FE Kategoria: Błąd programu | Średnia | 4,3 |
| 3262544 | [CVE-2022-41262] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS for Java (usługa dostawcy HTTP) Komponenty: BC-JAS-WEB Kategoria: Błąd programu | Średnia | 6,1 |
