Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
Systèmes affectés
- ABAP Platform versions 751, 753, 753, 754, 756, 757 et 791
- Authenticator pour Android version 1.3.0
- Business Objects (Adaptive Job Server) versions 420 et 430
- Business Objects Business Intelligence Platform (CMC) versions 420et 430
- BusinessObjects Business Intelligence Platform (Web Services) versions 420 et 430
- Content Server version 7.53
- Host Agent version 7.22
- NetWeaver Application Server pour ABAP et ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver AS Java (Object Analyzing Service) version 7.50
- NetWeaver AS pour ABAP et ABAP Platform (SAPRSBRO Program) versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- NetWeaver AS pour ABAP et ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver AS pour ABAP et ABAP Platform versions SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- NetWeaver AS pour Java version 7.50
- NetWeaver versions 700, 701, 702, 731, 740 et 750
- NetWeaver(SAP Enterprise Portal) versions 7.50
- Solution Manager et ABAP managed systems(ST-PI) versions 2008_1_700, 2008_1_710 et 740
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 14 mars 2023 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-0021 https://www.cve.org/CVERecord?id=CVE-2023-0021
- Référence CVE CVE-2023-23857 https://www.cve.org/CVERecord?id=CVE-2023-23857
- Référence CVE CVE-2023-24526 https://www.cve.org/CVERecord?id=CVE-2023-24526
- Référence CVE CVE-2023-25615 https://www.cve.org/CVERecord?id=CVE-2023-25615
- Référence CVE CVE-2023-25616 https://www.cve.org/CVERecord?id=CVE-2023-25616
- Référence CVE CVE-2023-25617 https://www.cve.org/CVERecord?id=CVE-2023-25617
- Référence CVE CVE-2023-25618 https://www.cve.org/CVERecord?id=CVE-2023-25618
- Référence CVE CVE-2023-26457 https://www.cve.org/CVERecord?id=CVE-2023-26457
- Référence CVE CVE-2023-26459 https://www.cve.org/CVERecord?id=CVE-2023-26459
- Référence CVE CVE-2023-26460 https://www.cve.org/CVERecord?id=CVE-2023-26460
- Référence CVE CVE-2023-26461 https://www.cve.org/CVERecord?id=CVE-2023-26461
- Référence CVE CVE-2023-27268 https://www.cve.org/CVERecord?id=CVE-2023-27268
- Référence CVE CVE-2023-27269 https://www.cve.org/CVERecord?id=CVE-2023-27269
- Référence CVE CVE-2023-27270 https://www.cve.org/CVERecord?id=CVE-2023-27270
- Référence CVE CVE-2023-27271 https://www.cve.org/CVERecord?id=CVE-2023-27271
- Référence CVE CVE-2023-27498 https://www.cve.org/CVERecord?id=CVE-2023-27498
- Référence CVE CVE-2023-27500 https://www.cve.org/CVERecord?id=CVE-2023-27500
- Référence CVE CVE-2023-27501 https://www.cve.org/CVERecord?id=CVE-2023-27501
- Référence CVE CVE-2023-27893 https://www.cve.org/CVERecord?id=CVE-2023-27893
- Référence CVE CVE-2023-27894 https://www.cve.org/CVERecord?id=CVE-2023-27894
- Référence CVE CVE-2023-27895 https://www.cve.org/CVERecord?id=CVE-2023-27895
- Référence CVE CVE-2023-27896 https://www.cve.org/CVERecord?id=CVE-2023-27896
