Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
Systèmes affectés
- SAP Bank Account Management (Manage Banks) versions 800 et 900
- SAP BPC MS 10.0 versions 800 et 810
- SAP BusinessObjects Business Intelligence platform (Analysis edition pour OLAP) versions 420 et 430
- SAP BusinessObjects Business Intelligence Platform (Central Management Console et BI Launchpad) versions 4.2 et 4.3
- SAP BusinessObjects Business Intelligence Platform (Central management console) versions 420 et 430
- SAP BusinessObjects Business Intelligence Platform version 420
- SAP Host Agent (Windows) versions 7.21 et 7.22
- SAP NetWeaver ABAP Server et ABAP Platform versions SAP_BASIS 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22 et 7.22EXT
- SAP NetWeaver AS for Java version 7.50
- SAP NetWeaver AS pour ABAP et ABAP Platform versions 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- SAP NetWeaver Process Integration version 7.50
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 10 janvier 2023 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2022-41203 https://www.cve.org/CVERecord?id=CVE-2022-41203
- Référence CVE CVE-2022-41271 https://www.cve.org/CVERecord?id=CVE-2022-41271
- Référence CVE CVE-2022-41272 https://www.cve.org/CVERecord?id=CVE-2022-41272
- Référence CVE CVE-2023-0012 https://www.cve.org/CVERecord?id=CVE-2023-0012
- Référence CVE CVE-2023-0013 https://www.cve.org/CVERecord?id=CVE-2023-0013
- Référence CVE CVE-2023-0014 https://www.cve.org/CVERecord?id=CVE-2023-0014
- Référence CVE CVE-2023-0015 https://www.cve.org/CVERecord?id=CVE-2023-0015
- Référence CVE CVE-2023-0016 https://www.cve.org/CVERecord?id=CVE-2023-0016
- Référence CVE CVE-2023-0017 https://www.cve.org/CVERecord?id=CVE-2023-0017
- Référence CVE CVE-2023-0018 https://www.cve.org/CVERecord?id=CVE-2023-0018
- Référence CVE CVE-2023-0022 https://www.cve.org/CVERecord?id=CVE-2023-0022
- Référence CVE CVE-2023-0023 https://www.cve.org/CVERecord?id=CVE-2023-0023
