Objet: Multiples vulnérabilités dans les produits SAP

Risque(s)

• Déni de service
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• SAP Business Client, Version – 6.5
• SAP Environmental Compliance, Version - 3.0
• SAP NetWeaver AS ABAP et ABAP Platform, Versions - 700, 701, 702, 710, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
• SAP SuccessFactors Mobile Application (pour les équipements Android), Versions - <2108
• SAP BusinessObjects Business Intelligence Platform (Crystal Reports), Versions - 420, 430
• SAP Business One, Version - 10.0
• SAP Business One, Version - 10.0
• SAP NetWeaver AS ABAP and ABAP Platform, Versions - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
• SAP NetWeaver Application Server pour ABAP (SAP Cloud Print Manager et SAPSprint), Versions - 7.70, 7.70 PI, 7.70BYD
• SAPUI5, Versions - 750, 753, 754
• SAP NetWeaver, Versions - 700, 701, 702, 730
• SAP NetWeaver AS ABAP et ABAP Platform, Versions - 740, 750, 751, 752, 753, 754, 755
• SAP BusinessObjects Analysis, (édition pour OLAP), Versions - 420, 430
• SAP NetWeaver AS ABAP et ABAP Platform, Versions - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité SAP 587169983 du 12 octobre 2021
  https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983
• Référence CVE CVE-2020-10683
  https://www.cve.org/CVERecord?id=CVE-2020-10683
• Référence CVE CVE-2021-23926
  https://www.cve.org/CVERecord?id=CVE-2021-23926
• Référence CVE CVE-2021-38178
  https://www.cve.org/CVERecord?id=CVE-2021-38178
• Référence CVE CVE-2021-40498
  https://www.cve.org/CVERecord?id=CVE-2021-40498
• Référence CVE CVE-2021-40500
  https://www.cve.org/CVERecord?id=CVE-2021-40500
• Référence CVE CVE-2021-38179
  https://www.cve.org/CVERecord?id=CVE-2021-38179
• Référence CVE CVE-2021-38180
  https://www.cve.org/CVERecord?id=CVE-2021-38180
• Référence CVE CVE-2021-38181
  https://www.cve.org/CVERecord?id=CVE-2021-38181
• Référence CVE CVE-2021-40499
  https://www.cve.org/CVERecord?id=CVE-2021-40499
• Référence CVE CVE-2020-11023
  https://www.cve.org/CVERecord?id=CVE-2020-11023
• Référence CVE CVE-2021-38183
  https://www.cve.org/CVERecord?id=CVE-2021-38183
• Référence CVE CVE-2021-40495
  https://www.cve.org/CVERecord?id=CVE-2021-40495
• Référence CVE CVE-2021-40497
  https://www.cve.org/CVERecord?id=CVE-2021-40497
• Référence CVE CVE-2021-40496
  https://www.cve.org/CVERecord?id=CVE-2021-40496