Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- ABAP Platform and SAP Web Dispatcher versions WEBDISP 7.85, 7.89, KERNEL 7.85, 7.89 et 7.91
- SAP Application Interface Framework (Custom Hint of Message Dashboard Application versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
- SAP Application Interface Framework (Log Message View of Message Dashboard) versions AIF 703, AIFX 702, S4CORE 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E
- SAP Application Interface Framework (Message Monitoring and Message Monitoring for Administrators Application versions 600 et 700
- SAP Application Interface Framework (ODATA service) versions 755 et 756
- SAP Business Client versions 6.5, 7.0 et 7.70
- SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430
- SAP Commerce versions 1905, 2005 et 2011
- SAP CRM (WebClient UI) versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF, 700, 701, 731, 730, 746, 747, 748, 800 et 801
- SAP CRM versions 700, 701, 702, 712 et 713
- SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) version 720
- SAP Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600
- SAP GUI for HTML versions KERNEL 7.22, 7.53, 7.547.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22 et 7.22EXT
- SAP HCM Fiori App My Forms (Fiori 2.0) version 605
- SAP Landscape Management version 3.0
- SAP NetWeaver (BI CONT ADDON) versions 707, 737, 747 et 757
- SAP NetWeaver Application Server for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- SAP NetWeaver AS for ABAP (Business Server Pages) versions 700, 701, 702, 731, 740,750, 751, 752, 753, 754, 755, 756 et 757
- SAP NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791
- SAP NetWeaver AS Java for Deploy Service version 7.50
- SAP NetWeaver Enterprise Portal version 7.50
- SAP NetWeaver Process Integration version 7.50
- SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22,7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21,7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82,7.83, KERNEL 7.21, 7.22,7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
- SapSetup (Software Installation Program) version 9.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 11 avril 2023 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2020-13936 https://www.cve.org/CVERecord?id=CVE-2020-13936
- Référence CVE CVE-2021-33683 https://www.cve.org/CVERecord?id=CVE-2021-33683
- Référence CVE CVE-2022-41272 https://www.cve.org/CVERecord?id=CVE-2022-41272
- Référence CVE CVE-2023-1903 https://www.cve.org/CVERecord?id=CVE-2023-1903
- Référence CVE CVE-2023-24527 https://www.cve.org/CVERecord?id=CVE-2023-24527
- Référence CVE CVE-2023-24528 https://www.cve.org/CVERecord?id=CVE-2023-24528
- Référence CVE CVE-2023-26458 https://www.cve.org/CVERecord?id=CVE-2023-26458
- Référence CVE CVE-2023-27267 https://www.cve.org/CVERecord?id=CVE-2023-27267
- Référence CVE CVE-2023-27269 https://www.cve.org/CVERecord?id=CVE-2023-27269
- Référence CVE CVE-2023-27497 https://www.cve.org/CVERecord?id=CVE-2023-27497
- Référence CVE CVE-2023-27499 https://www.cve.org/CVERecord?id=CVE-2023-27499
- Référence CVE CVE-2023-27897 https://www.cve.org/CVERecord?id=CVE-2023-27897
- Référence CVE CVE-2023-28761 https://www.cve.org/CVERecord?id=CVE-2023-28761
- Référence CVE CVE-2023-28763 https://www.cve.org/CVERecord?id=CVE-2023-28763
- Référence CVE CVE-2023-28765 https://www.cve.org/CVERecord?id=CVE-2023-28765
- Référence CVE CVE-2023-29108 https://www.cve.org/CVERecord?id=CVE-2023-29108
- Référence CVE CVE-2023-29109 https://www.cve.org/CVERecord?id=CVE-2023-29109
- Référence CVE CVE-2023-29110 https://www.cve.org/CVERecord?id=CVE-2023-29110
- Référence CVE CVE-2023-29111 https://www.cve.org/CVERecord?id=CVE-2023-29111
- Référence CVE CVE-2023-29112 https://www.cve.org/CVERecord?id=CVE-2023-29112
- Référence CVE CVE-2023-29185 https://www.cve.org/CVERecord?id=CVE-2023-29185
- Référence CVE CVE-2023-29186 https://www.cve.org/CVERecord?id=CVE-2023-29186
- Référence CVE CVE-2023-29187 https://www.cve.org/CVERecord?id=CVE-2023-29187
- Référence CVE CVE-2023-29189 https://www.cve.org/CVERecord?id=CVE-2023-29189