Risque

  • Atteinte à la confidentialité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

  • SAP NetWeaver 7.x ;
  • SAP Web Application Server 6.x ;
  • SAP Web Application Server 7.x ;
  • SAP Enterprise Portal 6.x.

Résumé

Des vulnérabilités permettant une injection indirecte de code à distance et une atteinte à la confidentialité des données ont été découvertes dans plusieurs produits SAP.

Description

Deux vulnérabilités ont été découvertes dans différents produits SAP.

La première permet à une personne malintentionnée d'injecter du code à distance. Elle concerne les produits SAP NetWeaver 7.X et SAP Web Application Server 6.x et 7.x. Elle touche les modules ITS Mobile Start et ITS Mobile Test qui ne gèrent pas correctement certaines entrées.

La seconde permet à une personne malintentionnée d'obtenir certaines informations sensibles. Elle touche les produits SAP Enterprise Portal 6.x et SAP Netweaver 7.x. Cette vulnérabilité concerne l'affichage de messages d'erreur pouvant contenir le chemin d'installation complet du module fautif. Elle est déclenchée suite à la réception de requêtes HTTP spécialement conçues.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation