Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • DMIS Mobile Plug-In versions DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752 et 2020
  • SAP Business One version 10.0
  • SAP BusinessObjects Business Intelligence Platform (Crystal Report) versions 420 et 430
  • SAP BusinessObjects Business Intelligence Platform (SAPUI5) versions 420 et 430
  • SAP Cloud Connector version 2.0
  • SAP Fiori Client Native Mobile pour Android version 3.2
  • SAP NetWeaver (Knowledge Management) versions 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT) versions 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
  • SAP NetWeaver Development Infrastructure (Component Build Service) versions 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver Development Infrastructure (Notification Service) versions 7.31, 7.40 et 7.50
  • SAP NetWeaver Enterprise Portal (Application Extensions) versions 7.30, 7.31, 7.40 et 7.50
  • SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
  • SAP S/4HANA versions SAPSCORE 125, S4CORE 102, 102, 103, 104 et 105

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation