Risque(s)
- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- PowerDesigner version 16.7
- ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757
- PowerDesigner version 16.7
- Business One version 10.0
- BusinessObjects Business Intelligence (installer) versions 420 et 430
- BusinessObjects Business Intelligence Platform version 420
- Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX
- Business One (B1i Layer) version 10.0
- Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617
- NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50
- Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211
- Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617
- Business One (Service Layer) version 10.0
- NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804
- BusinessObjects Business Intelligence Platform versions 430
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 08 août 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 - Référence CVE CVE-2023-37483
https://www.cve.org/CVERecord?id=CVE-2023-37483 - Référence CVE CVE-2023-37484
https://www.cve.org/CVERecord?id=CVE-2023-37484 - Référence CVE CVE-2023-36922
https://www.cve.org/CVERecord?id=CVE-2023-36922 - Référence CVE CVE-2023-39439
https://www.cve.org/CVERecord?id=CVE-2023-39439 - Référence CVE CVE-2023-33989
https://www.cve.org/CVERecord?id=CVE-2023-33989 - Référence CVE CVE-2023-36923
https://www.cve.org/CVERecord?id=CVE-2023-36923 - Référence CVE CVE-2023-39437
https://www.cve.org/CVERecord?id=CVE-2023-39437 - Référence CVE CVE-2023-37490
https://www.cve.org/CVERecord?id=CVE-2023-37490 - Référence CVE CVE-2023-37491
https://www.cve.org/CVERecord?id=CVE-2023-37491 - Référence CVE CVE-2023-33993
https://www.cve.org/CVERecord?id=CVE-2023-33993 - Référence CVE CVE-2023-37488
https://www.cve.org/CVERecord?id=CVE-2023-37488 - Référence CVE CVE-2023-37486
https://www.cve.org/CVERecord?id=CVE-2023-37486 - Référence CVE CVE-2023-39436
https://www.cve.org/CVERecord?id=CVE-2023-39436 - Référence CVE CVE-2023-37487
https://www.cve.org/CVERecord?id=CVE-2023-37487 - Référence CVE CVE-2023-37492
https://www.cve.org/CVERecord?id=CVE-2023-37492 - Référence CVE CVE-2023-39440
https://www.cve.org/CVERecord?id=CVE-2023-39440 - Référence CVE CVE-2023-36926
https://www.cve.org/CVERecord?id=CVE-2023-36926
