12 września 2023 r. firma SAP opublikowała poradnik bezpieczeństwa (5 gorących wiadomości, ale tylko 2 to nowości) dotyczący luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje krytyczne dla następujących elementów:
Platforma SAP Business Intelligence – wersje 420 i 430
SAP CommonCryptoLib – wiele produktów i wersji
Notatka SNote 3320355 uzyskała wynik CVSS na poziomie 9,9 i dotyczy „luki w zabezpieczeniach umożliwiającej ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (zarządzanie promocjami)”. Ataki wykorzystujące wrażliwe części aplikacji mogą uzyskać dostęp do poufnych informacji. Chociaż wynik wskazuje na wysokie ryzyko, należy pamiętać, iż atak może zostać przeprowadzony wyłącznie przez autoryzowane konto. Punktacja jest uzasadniona, ponieważ udana eksploatacja może spowodować poważne szkody i uszkodzenia systemu.
Notatka SNote 3340576 ma wynik CVSS 9,8 i jest opisany jako „kontrola braku autoryzacji w SAP CommonCryptoLib”.
Notatka | Opis | Krytycznoćć | CVSS |
2622660 | Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programu | Krytyczna | 10.0 |
3245526 | [CVE-2023-25616] Luka w zabezpieczeniach typu Code Injection w SAP Business Objects Business Intelligence Platform (CMC) Komponenty: BI-BIP-CMC Kategoria: Błąd programu | Krytyczna | 9.9 |
3320355 | [CVE-2023-40622] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (zarządzanie promocjami) Komponenty: BI-BIP-LCM Kategoria: Błąd programu | Krytyczna | 9.9 |
3273480 | [CVE-2022-41272] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (wyszukiwanie definiowane przez użytkownika) Komponenty: BC-XI-CON-UDS Kategoria: Błąd programu | Krytyczna | 9.9 |
3340576 | [CVE-2023-40309] Brak kontroli autoryzacji w SAP CommonCryptoLib Komponenty: BC-IAM-SSO-CCL Kategoria: Błąd programu | Krytyczna | 9.8 |
3370490 | [CVE-2023-42472] Niewystarczająca weryfikacja typu pliku w platformie SAP BusinessObjects Business Intelligence (interfejs HTML Web Intelligence) Komponenty: BI-RA-WBI-FE Kategoria: Błąd programu | Wysoka | 8.7 |
3327896 | [CVE-2023-40308] Luka w zabezpieczeniach powodująca uszkodzenie pamięci w SAP CommonCryptoLib Komponenty: BC-IAM-SSO-CCL Kategoria: Błąd programu | Wysoka | 7.5 |
3357163 | [CVE-2023-40621] Luka w zabezpieczeniach polegająca na wstrzykiwaniu kodu w kliencie SAP PowerDesigner Komponenty: BC-SYB-PD Kategoria: Błąd programu | Średnia | 6.3 |
3317702 | [CVE-2023-40623] wersja wydana poprzez udostępnienie pliku katalogów w pakiecie SAP BusinessObjects Suite (instalator) Komponent: BI-BIP-INS Kategoria: Błąd programu | Średnia | 6.2 |
3349805 | Luka w zabezpieczeniach typu „odmowa usługi” (DOS) wynikająca z użycia podatnej wersji Commons FileUpload w SAP Quotation Management Insurance (FS-QUO) Komponenty: FS-QUO Kategoria: Błąd programu | Średnia | 5.7 |
3323163 | [CVE-2023-40624] Luka Code Injection w SAP NetWeaver AS ABAP (aplikacje oparte na Unified Rendering) Komponenty: BC-WD-UR Kategoria: Błąd programu | Średnia | 5.5 |
3326361 | [CVE-2023-40625] Brak kontroli autoryzacji w aplikacji Zarządzaj umowami zakupu Komponenty: MM-FIO-PUR-SQ-CON Kategoria: Błąd programu | Średnia | 5.4 |
3348142 | [CVE-2023-41367] Brak kontroli uwierzytelnienia w SAP NetWeaver (procedury z przewodnikiem) Komponenty: BC-GP Kategoria: Błąd programu | Średnia | 5.3 |
3352453 | [CVE-2023-37489] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (system zarządzania wersjami) Komponenty: BI-BIP-LCM Kategoria: Błąd programu | Średnia | 5.3 |
3369680 | [CVE-2023-41369] Luka w zabezpieczeniach pętli podmiotu zewnętrznego w SAP S/4HANA (Utwórz aplikację do pojedynczej płatności) Komponenty: FI-FIO-AP Kategoria: Błąd programu | Niska | 3.5 |
3355675 | [CVE-2023-41368] Luka w zabezpieczeniach niebezpiecznego bezpośredniego odniesienia do obiektu (IDOR) w SAP S/4HANA (zarządzanie aplikacjami książeczki czekowej) Komponenty: FI-FIO-AP-CHK Kategoria: Błąd programu | Niska | 2.7 |