13 czerwca 2023 r. firma SAP opublikowała poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów
Według SAP wydano 8 nowych not bezpieczeństwa. Dodatkowo pojawiło się 5 aktualizacji wydanych wcześniej Not Security Notes (źródło: SAP Digital Library).
Najwyższa ocena CVSS w bieżącym dniu SAP Security Patch Day wynosi 8,2. Ta ocena jest przypisywana do dokumentu SAP Security Note 3324285, który dotyczy luki CVE-2023-33991 zatytułowanej „Luka w zabezpieczeniach przechowywanych skryptów międzywitrynowych w interfejsie SAP UI5 (Variant Management)”. Ta luka dotyczy szerokiej gamy wersji komponentów SAP_UI, z wyjątkiem SAP_UI 758, który zawiera już niezbędną poprawkę. Wykorzystanie tej luki może umożliwić atakującemu z dostępem na poziomie użytkownika odczyt danych z serwera. Udane ataki mogą zagrozić integralności i poufności systemu.
Oprócz wspomnianych wyżej atrakcji, podczas czerwcowego dnia SAP Security Patch Day zwrócono również uwagę na system zmian i transportu w SAP NetWeaver. Mimo przypisania niskiego priorytetu, uwaga dotycząca zabezpieczeń 3325642 dotyczy luki w zabezpieczeniach, która zapobiega potencjalnemu atakowi typu „odmowa usługi” (DoS).
Ta konkretna luka może zostać wykorzystana przez uwierzytelnionego atakującego z uprawnieniami administratora. Osoba atakująca może wielokrotnie uruchamiać program porównawczy z zamiarem spowolnienia lub całkowitego zatrzymania funkcji SAP Transport Management. Chociaż wpływ tej luki w zabezpieczeniach jest zwykle niewielki podczas normalnej pracy, może zostać potencjalnie wykorzystany do przerwania ważnego czasowo uruchomienia projektu.
Link | Opis | Krytyczność | CVSS | |
3319400 | [CVE-2023-31406] Luka w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence związana z obsługą skryptów międzywitrynowych (XSS) Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6,1 | |
2826092 | [CVE-2023-33986] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM ABAP (Grantor Management) Komponenty: CRM-IPS-BTX-APL Kategoria: Błąd programu | Średnia | 6,1 | |
3318657 | [CVE-2023-33984] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP NetWeaver (Repozytorium czasu projektowania) Komponenty: BC-CTS-DTR Kategoria: Błąd programu | Średnia | 6,4 | |
3331627 | [CVE-2023-33985] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver (Enterprise Portal) Komponenty: EP-PIN-NAV Kategoria: Błąd programu | Średnia | 6,1 | |
3325642 | [CVE-2023-32114] Odmowa usługi w SAP NetWeaver (system zmian i transportu) Komponenty: BC-CTS-TMS-CTR Kategoria: Błąd programu | Niska | 2,7 | |
3326210 | [CVE-2023-30743] Niewłaściwa neutralizacja danych wejściowych w SAPUI5 Komponenty: CA-UI5-CTR-BAL Kategoria: Błąd programu | Wysoka | 7,1 | |
3324285 | [CVE-2023-33991] Luka w zabezpieczeniach dotycząca przechowywanych skryptów międzywitrynowych w SAP UI5 (Variant Management) Komponenty: CA-UI5-COR Kategoria: Błąd programu | Wysoka | 8,2 | |
3322800 | Aktualizacja 1 do informacji o zabezpieczeniach 3315971 — [CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs użytkownika WebClient) Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programu | Średnia | 6,1 | |
3315971 | [CVE-2023-30742] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP CRM (interfejs klienta WebClient) Komponenty: CA-WUI-UI-TAG Kategoria: Błąd programu | Średnia | 6,1 | |
3102769 | [CVE-2021-42063] Luka w zabezpieczeniach związana z obsługą skryptów międzywitrynowych (XSS) w SAP Knowledge Warehouse Komponenty: KM-KW-HTA Kategoria: Błąd programu | Wysoka | 8,8 | |
3142092 | [CVE-2022-22542] Luka umożliwiająca ujawnienie informacji w SAP S/4HANA (arkusz informacyjny dostawcy i wyszukiwanie korporacyjne dla partnera biznesowego, dostawcy i klienta) Komponenty: LO-MD-BP Kategoria: Błąd programu | Średnia | 6,5 | |
1794761 | [CVE-2023-32115] Wstrzyknięcie SQL w synchronizacji danych podstawowych (MDS COMPARE TOOL) Komponenty: AP-MD-BF-SYN Kategoria: Błąd programu | Średnia | 4,2 | |
3301942 | [CVE-2023-2827] Brak uwierzytelniania w SAP Plant Connectivity i Production Connector dla SAP Digital Manufacturing Komponenty: MFG-PCO-DMC Kategoria: Błąd programu | Wysoka | 7,9 | |