Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur
  • Élévation de privilèges

Systèmes affectés

  • Business Objects BI Platform versions 420 et 430
  • Librairie @sap/xssec versions antérieures à 3.6.0
  • Librairie cloud-security-services-integration-library versions 3.3.x antérieures à 3.3.0
  • Librairie cloud-security-services-integration-library versions antérieures à 2.17.0
  • Librairie github.com/sap/cloud-security-client-go versions antérieures à 0.17.0
  • Librairie sap-xssec versions antérieures à 4.1.0
  • SAP Biller Direct versions 635 et 750
  • SAP Business Client versions 6.5, 7.0 et 7.7
  • SAP BusinessObjects Web Intelligence version 420
  • SAP Cloud Connector version 2.0
  • SAP Commerce Cloud version 8.1
  • SAP ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807
  • SAP EMARSYS SDK ANDROID version 3.6.2
  • SAP Fiori Launchpad versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, SAP_UI 758, UI_700 200 et SAP_BASIS 793
  • SAP GUI pour Windows et SAP GUI pour Java versions SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758
  • SAP HCM (SMART PAYE solution) versions S4HCMCIE 100, SAP_HRCIE 600, SAP_HRCIE 604 et SAP_HRCIE 608
  • SAP Master Data Governance versions 731, 732, 746, 747, 748, 749, 800, 751,752,801,802, 803, 804, 805, 806, 807 et 808
  • SAP NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS731, SAP_BASIS740 et SAP_BASIS750
  • SAP Solution Manager version 720
  • SAP_BS_FND version 702
  • SAPUI5 versions SAP_UI 750, SAP_UI 753, SAP_UI 754, SAP_UI 755, SAP_UI 756 et UI_700 200

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation