Na lipiec 2024 r. wydano 16 nowych notatek dotyczących bezpieczeństwa, a 2 zaktualizowano.
Poniżej podkreślimy kilka punktów, na które warto zwrócić uwagę.
Uwaga 3490515: Opisuje lukę w funkcji „wczesnego logowania i rejestracji” w SAP Commerce. Należy pamiętać, iż rozwiązanie SAP Commerce jest dostępne w wariancie publicznym i lokalnym, którego naprawa wymaga różnych kroków. Należy również zwrócić uwagę na to obejście jako rozwiązanie tymczasowe.
Uwaga 3461110: opisana tutaj luka dotyczy interfejsu GUI SAP dla systemu Windows. Komponent przez cały czas bardzo często używany w organizacjach. Opisany problem może wystąpić tylko wtedy, gdy stacja robocza użytkownika jest w dużym stopniu zagrożona. Mimo to podkreśla ogólną słabość haseł i wartość dodaną bezpiecznego rozwiązania alternatywnego, takiego jak jednokrotne logowanie.
Notatki 3476348 i 3476340 opisują luki w zabezpieczeniach SAP Enable Now. Również tutaj: zwróć uwagę na różnicę w wariancie chmurowym i lokalnym. W zależności od wariantu potrzebne są różne działania.
Link | Opis | Krytyczność | CVSS |
3483344 | [CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE Komponenty: FIN-BA Kategoria: Błąd programu | Wysoka | 7.7 |
3490515 | [CVE-2024-39597] Niewłaściwe kontrole autoryzacji w przypadku wczesnego logowania Witryny B2B z możliwością komponowania witryny sklepowej w SAP Commerce Komponenty: CEC-SCC-COM-BC-CS Kategoria: Błąd programu | Wysoka | 7.2 |
3466801 | [CVE-2024-39593] Luka w zabezpieczeniach SAP Landscape Management umożliwiająca ujawnienie informacji Komponenty: BC-VCM-LVM Kategoria: Błąd programu | Średnia | 6.9 |
3459379 | [CVE-2024-34683] Nieograniczone przesyłanie plików w SAP Document Builder (usługa HTTP) Komponenty: CA-GTF-DOB Kategoria: Błąd programu | Średnia | 6.5 |
3468681 | [CVE-2024-34685] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver Knowledge Management XMLEditor Komponenty: EP-PIN-WPC-WCM Kategoria: Błąd programu | Średnia | 6.1 |
3482217 | [CVE-2024-39594] Wiele luk w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP Business Warehouse — planowanie biznesowe i symulacja Komponenty: BW-PLA-BPS Kategoria: Błąd programu | Średnia | 6.1 |
3467377 | [Wiele CVE] Wiele luk w SAP CRM (WebClient UI) Komponenty: CA-WUI-UI Kategoria: Błąd programu | Średnia | 6.1 |
3457354 | [CVE-2024-37172] Brak kontroli autoryzacji w SAP S/4HANA Finance (zaawansowane zarządzanie płatnościami) Komponenty: FIN-FSCM-PF-IHB Kategoria: Błąd programu | Średnia | 5.4 |
3483993 | [CVE-2024-34689] Warunek wstępny dotyczący notatki bezpieczeństwa 3458789 Komponenty: BC-BMT-WFM Kategoria: Błąd programu | Średnia | 5.0 |
3485805 | [CVE-2024-34689] Lista dozwolonych adresów URL wywołań zwrotnych w SAP Business Workflow (usługi WebFlow) Komponenty: BC-BMT-WFM Kategoria: Informacje o aktualizacji | Średnia | 5.0 |
3469958 | [CVE-2024-37171] Fałszowanie żądań po stronie serwera (SSRF) w SAP Transportation Management (portal współpracy) Komponenty: TM-CP Kategoria: Błąd programu | Średnia | 5.0 |
3461110 | [CVE-2024-39600] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w interfejsie SAP GUI dla systemu Windows Komponenty: BC-FES-GUI Kategoria: Błąd programu | Średnia | 5.0 |
3458789 | [CVE-2024-34689] Fałszowanie żądań po stronie serwera w SAP Business Workflow (usługi WebFlow) Komponenty: BC-BMT-WFM Kategoria: Błąd programu | Średnia | 5.0 |
3456952 | [CVE-2024-39599] Awaria mechanizmu ochrony w serwerze aplikacji SAP NetWeaver dla platformy ABAP i ABAP Komponenty: BC-MID-ICF Kategoria: Błąd programu | Średnia | 4.7 |
3476348 | [CVE-2024-39596] Brakująca luka w zabezpieczeniach sprawdzania autoryzacji w SAP Włącz teraz Komponenty: KM-SEN-MGR Kategoria: Informacje o aktualizacji | Średnia | 4.3 |
3101986 | Przygotuj obsługę CSP dla lokalnego portu down dla zależności kodu w interfejsie użytkownika SAP CRM WebClient Komponenty: CA-WUI-UI Kategoria: Błąd programu | Średnia | 4.1 |
3454858 | [CVE-2024-37180] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w serwerze aplikacji SAP NetWeaver dla ABAP i platformy ABAP Priorytet: Korekta o średnim priorytecie Wydany: 09.07.2024 Komponenty: BC-SRV-DX-DXW Kategoria: Błąd programu | Średnia | 4.1 |
3476340 | [CVE-2024-34692] Luka w zabezpieczeniach umożliwiająca nieograniczone przesyłanie plików w SAP Włącz teraz Komponenty: KM-SEN-MGR Kategoria: Informacje o aktualizacji | Niska | 3.3 |