Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données ;
  • atteinte à l'intégrité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

  • BusinessObjects XI 3.x ( 12.x) ;
  • SAP WebAS 6.x et 7.x.

Résumé

Plusieurs vulnérabilités affectent les produits SAP permettant de compromettre le serveur vulnérable ou de tromper ses utilisateurs.

Description

Plusieurs vulnérabilités concernent le produit BusinessObjects :

  • plusieurs manques de vérification des données entrées par l'utilisateur permettent de réaliser des injections de code indirectes ;
  • plusieurs manques de vérification dans les redirecteurs permettent de détourner les utilisateurs vers des sites tiers à leur insu ;
  • plurieurs vulnérabilités permettent à un utilisateur malveillant d'accéder à des informations sensibles.

Une vulnérabilité concerne SAP WebAS. Elle permet à un utilisateur malveillant local ou distant, d'exécuter du code arbitraire, de modifier ou de lire les données sur le serveur vulnérable.

Solution

Pour BusinessObjects, les correctifs sont les fixpacks 1.8 et 2.3.

Pour SAP WebAS, les correctifs sont accessibles par le bulletin SAP Note 1412112 (cf. section Documentation).

Documentation