Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • BANKING SERVICES FROM SAP 9.0 (Bank Analyzer) version 500
  • S/4HANA FIN PROD SUBLDGR version 100
  • SAP 3D Visual Enterprise Viewer version 9
  • SAP Adaptive Server Enterprise versions 15.7 et 16.0
  • SAP Business Client version 6.5
  • SAP Business Objects Business Intelligence Platform (BI Workspace) versions 4.1 et 4.2
  • SAP Commerce versions 6.7, 1808, 1811, 1905 et 2005
  • SAP Marketing (Mobile Channel Servlet) versions 130, 140 et 150
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
  • SAP NetWeaver (ABAP Server) et ABAP Platform versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753 et 755
  • SAP NetWeaver (Knowledge Management) versions 7.30,7.31,7.40 et 7.50
  • SAP NetWeaver AS ABAP (BSP Test Application) versions 700,701,702,730,731,740,750,751,752,753,754 et 755
  • SAP Netweaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753 et 754
  • SAP NetWeaver AS JAVA (IIOP service) (CORE-TOOLS) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS JAVA (IIOP service) (SERVERCORE) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP Solution Manager (User Experience Monitoring) version 7.2
  • SAPFiori (Launchpad) versions 750, 752, 753, 754 et 755
  • SAPUI5 (SAP_UI) versions 750, 751, 752, 753, 754 et 755
  • SAPUI5 (UI_700) version 200
  • SAPUI5 (UISAPUI5_JAVA) version 7.50

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation