Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Élévation de privilèges
Systèmes affectés
- SAP 3D Visual Enterprise Viewer version 9
- SAP Business Client version 6.5
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) version 420
- SAP BusinessObjects Business Intelligence Platform versions 420 et 430
- SAP BusinessObjects Enterprise (Central Management Server) versions 420 et 430
- SAP Commerce versions 905, 2005, 2105 et 2011
- SAP Content Server version 7.53
- SAP Customer Checkout version 2.0
- SAP Customer Checkout_SVR version 2.0
- SAP Fiori Launchpad versions 54, 755 et 756
- SAP Focused Run (Simple Diagnostics Agent) version 1.0
- SAP HANA Extended Application Services version 1
- SAP Innovation Management version 2
- SAP Manufacturing Integration et Intelligence versions 15.1, 15.2, 15.3 et 15.4
- SAP NetWeaver (EP Web Page Composer) versions 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver (Internet Communication Manager versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
- SAP NetWeaver (Internet Communication Manager) versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
- SAP NetWeaver ABAP Server et ABAP Platform versions 740, 750 et 787
- SAP NetWeaver Application Server ABAP et ABAP Platform versions 700, 710, 711, 730, 731, 740 et 750-756
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 et 7.53
- SAP NetWeaver Application Server pour ABAP (Kernel) et ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server pour Java Version 7.50
- SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver et ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP Powerdesigner Web Portal version 16.7
- SAP SQL Anywhere Server version 17.0
- SAP Web Dispatcher versions 7.22, 7.49, 7.53, 7.77, 7.81 et 7.83
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 et 7.87
- SAP Web Dispatcher versions 7.53, 7.77, 7.81, 7.85 et 7.86
- SAPS/4HANA(Supplier Factsheet et Enterprise Search pour Business Partner, Supplier et Customer) versions 104, 105 et 106
- SAPUI5 (vbm library) versions 750, 753, 754, 755 et 756
- SAPUI5, versions 750, 753, 754, 755, 756 et 200
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 12 avril 2022 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
- Référence CVE CVE-2020-26291 https://www.cve.org/CVERecord?id=CVE-2020-26291
- Référence CVE CVE-2021-21480 https://www.cve.org/CVERecord?id=CVE-2021-21480
- Référence CVE CVE-2021-27516 https://www.cve.org/CVERecord?id=CVE-2021-27516
- Référence CVE CVE-2021-3647 https://www.cve.org/CVERecord?id=CVE-2021-3647
- Référence CVE CVE-2021-38162 https://www.cve.org/CVERecord?id=CVE-2021-38162
- Référence CVE CVE-2021-44832 https://www.cve.org/CVERecord?id=CVE-2021-44832
- Référence CVE CVE-2022-0613 https://www.cve.org/CVERecord?id=CVE-2022-0613
- Référence CVE CVE-2022-22532 https://www.cve.org/CVERecord?id=CVE-2022-22532
- Référence CVE CVE-2022-22533 https://www.cve.org/CVERecord?id=CVE-2022-22533
- Référence CVE CVE-2022-22536 https://www.cve.org/CVERecord?id=CVE-2022-22536
- Référence CVE CVE-2022-22541 https://www.cve.org/CVERecord?id=CVE-2022-22541
- Référence CVE CVE-2022-22542 https://www.cve.org/CVERecord?id=CVE-2022-22542
- Référence CVE CVE-2022-22543 https://www.cve.org/CVERecord?id=CVE-2022-22543
- Référence CVE CVE-2022-22545 https://www.cve.org/CVERecord?id=CVE-2022-22545
- Référence CVE CVE-2022-22965 https://www.cve.org/CVERecord?id=CVE-2022-22965
- Référence CVE CVE-2022-23181 https://www.cve.org/CVERecord?id=CVE-2022-23181
- Référence CVE CVE-2022-26101 https://www.cve.org/CVERecord?id=CVE-2022-26101
- Référence CVE CVE-2022-26105 https://www.cve.org/CVERecord?id=CVE-2022-26105
- Référence CVE CVE-2022-26106 https://www.cve.org/CVERecord?id=CVE-2022-26106
- Référence CVE CVE-2022-26107 https://www.cve.org/CVERecord?id=CVE-2022-26107
- Référence CVE CVE-2022-26108 https://www.cve.org/CVERecord?id=CVE-2022-26108
- Référence CVE CVE-2022-26109 https://www.cve.org/CVERecord?id=CVE-2022-26109
- Référence CVE CVE-2022-27654 https://www.cve.org/CVERecord?id=CVE-2022-27654
- Référence CVE CVE-2022-27655 https://www.cve.org/CVERecord?id=CVE-2022-27655
- Référence CVE CVE-2022-27657 https://www.cve.org/CVERecord?id=CVE-2022-27657
- Référence CVE CVE-2022-27658 https://www.cve.org/CVERecord?id=CVE-2022-27658
- Référence CVE CVE-2022-27667 https://www.cve.org/CVERecord?id=CVE-2022-27667
- Référence CVE CVE-2022-27669 https://www.cve.org/CVERecord?id=CVE-2022-27669
- Référence CVE CVE-2022-27670 https://www.cve.org/CVERecord?id=CVE-2022-27670
- Référence CVE CVE-2022-27671 https://www.cve.org/CVERecord?id=CVE-2022-27671
- Référence CVE CVE-2022-28213 https://www.cve.org/CVERecord?id=CVE-2022-28213
- Référence CVE CVE-2022-28214 https://www.cve.org/CVERecord?id=CVE-2022-28214
- Référence CVE CVE-2022-28215 https://www.cve.org/CVERecord?id=CVE-2022-28215
- Référence CVE CVE-2022-28216 https://www.cve.org/CVERecord?id=CVE-2022-28216
- Référence CVE CVE-2022-28217 https://www.cve.org/CVERecord?id=CVE-2022-28217
- Référence CVE CVE-2022-28770 https://www.cve.org/CVERecord?id=CVE-2022-28770
- Référence CVE CVE-2022-28772 https://www.cve.org/CVERecord?id=CVE-2022-28772
- Référence CVE CVE-2022-28773 https://www.cve.org/CVERecord?id=CVE-2022-28773