Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- Business Objects BI Platform versions 420 et 430
- Librairie @sap/xssec versions antérieures à 3.6.0
- Librairie cloud-security-services-integration-library versions 3.3.x antérieures à 3.3.0
- Librairie cloud-security-services-integration-library versions antérieures à 2.17.0
- Librairie github.com/sap/cloud-security-client-go versions antérieures à 0.17.0
- Librairie sap-xssec versions antérieures à 4.1.0
- SAP Biller Direct versions 635 et 750
- SAP Business Client versions 6.5, 7.0 et 7.7
- SAP BusinessObjects Web Intelligence version 420
- SAP Cloud Connector version 2.0
- SAP Commerce Cloud version 8.1
- SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
- SAP EMARSYS SDK ANDROID version 3.6.2
- SAP Fiori Launchpad versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, SAP_UI 758, UI_700 200 et SAP_BASIS 793
- SAP GUI pour Windows et SAP GUI pour Java versions SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758
- SAP HCM (SMART PAYE solution) versions S4HCMCIE 100, SAP_HRCIE 600, SAP_HRCIE 604 et SAP_HRCIE 608
- SAP Master Data Governance versions 731, 732, 746, 747, 748, 749, 800, 751,752,801,802, 803, 804, 805, 806, 807 et 808
- SAP NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS731, SAP_BASIS740 et SAP_BASIS750
- SAP Solution Manager version 720
- SAP_BS_FND version 702
- SAPUI5 versions SAP_UI 750, SAP_UI 753, SAP_UI 754, SAP_UI 755, SAP_UI 756 et UI_700 200
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP ucQrx6G du 12 décembre 2023 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2021-23413 https://www.cve.org/CVERecord?id=CVE-2021-23413
- Référence CVE CVE-2023-36922 https://www.cve.org/CVERecord?id=CVE-2023-36922
- Référence CVE CVE-2023-42476 https://www.cve.org/CVERecord?id=CVE-2023-42476
- Référence CVE CVE-2023-42478 https://www.cve.org/CVERecord?id=CVE-2023-42478
- Référence CVE CVE-2023-42479 https://www.cve.org/CVERecord?id=CVE-2023-42479
- Référence CVE CVE-2023-42481 https://www.cve.org/CVERecord?id=CVE-2023-42481
- Référence CVE CVE-2023-49058 https://www.cve.org/CVERecord?id=CVE-2023-49058
- Référence CVE CVE-2023-49577 https://www.cve.org/CVERecord?id=CVE-2023-49577
- Référence CVE CVE-2023-49578 https://www.cve.org/CVERecord?id=CVE-2023-49578
- Référence CVE CVE-2023-49580 https://www.cve.org/CVERecord?id=CVE-2023-49580
- Référence CVE CVE-2023-49581 https://www.cve.org/CVERecord?id=CVE-2023-49581
- Référence CVE CVE-2023-49583 https://www.cve.org/CVERecord?id=CVE-2023-49583
- Référence CVE CVE-2023-49584 https://www.cve.org/CVERecord?id=CVE-2023-49584
- Référence CVE CVE-2023-49587 https://www.cve.org/CVERecord?id=CVE-2023-49587
- Référence CVE CVE-2023-50422 https://www.cve.org/CVERecord?id=CVE-2023-50422
- Référence CVE CVE-2023-50423 https://www.cve.org/CVERecord?id=CVE-2023-50423
- Référence CVE CVE-2023-50424 https://www.cve.org/CVERecord?id=CVE-2023-50424
- Référence CVE CVE-2023-6542 https://www.cve.org/CVERecord?id=CVE-2023-6542
