Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance
Systèmes affectés
SAP NetWeaver 7.x.
Résumé
Plusieurs vulnérabilités permettant à un utilisateur distant malintentionné de contourner la politique de sécurité et d'injecter indirectement du code à distance sont présentes dans SAP NetWeaver.
Description
Quatre vulnérabilités sont présentes dans SAP NetWeaver. La première concerne une faiblesse dans la gestion des accès à certaines ressources, permettant ainsi de contourner la politique de sécurité. La deuxième permet à une personne malintentionnée d'énumérer les fichiers présents sur le système, permettant ainsi le contournement de la politique de sécurité. La troisième permet d'effectuer une injection de code à distance grâce à une faille dans le module Text Container Administration Application. La dernière concerne SAP NetWeaver Business Communication Broker et permet à une personne malintentionnée d'effectuer une injection de code indirecte à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité SAP https://service.sap.com/sap/support/notes/1585652
