S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 février 2023
N° CERTFR-2023-AVI-0125
Affaire suivie par: CERT-FR
le 15 février 2023

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2023-AVI-0125
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version 15 février 2023
Date de la dernière version 15 février 2023
Source(s) Bulletin de sécurité SAP du 14 février 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Business Client versions 6.5, 7.0 et 7.70
  • BusinessObjects Business Intelligence platform (Analysis edition for OLAP) versions 420 et 430
  • BusinessObjects Business Intelligence platform (CMC) versions 420 et 430
  • BusinessObjects Business Intelligence (Web Intelligence UI) version 430
  • Business Planning and Consolidation versions 200 et 300
  • Business Planning and Consolidation versions SAP_BW 750, 751, 752, 753, 754, 755, 756 et 757, DWCORE 200 et 300 et CPMBPC 810
  • CRM (WebClient UI) versions 700, 701, 702, 731, 740, 750, 751 et 752, WEBCUIF 748, 800 et 801, S4FND 102 et 103
  • Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600
  • GRC Process Control application versions GRCFND_A V1200, V8100, GRCPINW V1100_700, V1100_731 et V1200_750
  • Host Agent Service versions 7.21 et 7.22
  • NetWeaver Application Server for ABAP and ABAP Platform versions 700, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789 et 790
  • NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751 et 752
  • NetWeaver AS ABAP (BSP Framework) version 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
  • NetWeaver AS ABAP (BSP Framework) version 700, 701, 702, 731 et 740
  • NetWeaver AS ABAP (Business Server Pages application) versions 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G et 75H
  • NetWeaver AS for ABAP and ABAP Platform version 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
  • NetWeaver AS for ABAP and ABAP Platform version 740, 750, 751, 752, 753, 754, 755, 756, 757, 789 et 790
  • NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756 et 757
  • NetWeaver AS for Java (Http Provider Service) version 7.50
  • S/4 HANA (Map Treasury Correspondence Format Data) versions 104 et 105
  • SAPBASIS versions 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790 et 791
  • Solution Manager (BSP Application) version 720
  • Solution Manager version 720

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 février 2023
    Version initiale