Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Customer Checkout
  • SAP BTP Cloud Foundry
  • SAP Landscape Management
  • SAP Connected Health Platform 2.0 - Fhirserver
  • SAP HANA XS Advanced Cockpit
  • SAP NetWeaver Process Integration
  • SAP HANA XS Advanced
  • SAP Internet of Things Edge Platform
  • SAP BTP Kyma
  • SAP Enable Now Manager
  • SAP Cloud for Customer (complément pour le client Lotus notes)
  • SAP Localization Hub, digital compliance service for India
  • SAP Edge Services On Premise Edition
  • SAP Edge Services Cloud Edition
  • SAP BTP API Management (Tenant Cloning Tool)
  • SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0)
  • SAP Digital Manufacturing Cloud for Edge Computing
  • SAP Enterprise Continuous Testing by Tricentis
  • SAP Cloud-to-Cloud Interoperability
  • SAP Reference Template for enabling ingestion and persistence of time series data in Azure
  • SAP Business One
  • SAP S/4HANA versions 100, 101, 102, 103, 104, 105 et 106
  • SAP NetWeaver AS ABAP versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 756
  • SAP Business One version 10
  • SAP Enterprise Threat Detection version 2.0
  • SAP NetWeaver AS for ABAP and ABAP Platform versions 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 786
  • SAP 3D Visual Enterprise Viewer version 9
  • SAP GRC Access Control versions V1100_700, V1100_731 et V1200_750

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation