Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- Application Interface Framework (File Adapter) version 702
- Business Application Studio, Web IDE Full-Stack et Web IDE pour SAP HANA
- Business Technology Platform (BTP) Security Services Integration Libraries
- Edge Integration Cell versions supérieures ou égales à 8.9.13
- LT Replication Server versions S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 et S4CORE 108
- Marketing (Contacts App) version 160
- Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) version 1.0
- NetWeaver (Internet Communication Manager) versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KRNL64NUC 7.22, KRNL64NUC 7.22_EXT, WEBDISP 7.22_EXT, WEBDISP 7.53 et WEBDISP 7.54
- NetWeaver ABAP Application Server et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 79
- NetWeaver AS ABAP et ABAP Platform versions KRNL64UC 7.53, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.94, KERNEL 7.93 et KERNEL 7.95
- NetWeaver AS for Java (Log Viewer) version ENGINEAPI 7.50, SERVERCORE 7.50 et J2EE-APPS 7.50
- S/4HANA Finance (Advanced Payment Management) versions SAPSCORE 128 et S4CORE 10
- Web Dispatcher versions WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP 7.89, WEBDISP 7.90, WEBDISP 7.94 et WEBDISP 7.95
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 09 janvier 2024 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
- Référence CVE CVE-2023-31405 https://www.cve.org/CVERecord?id=CVE-2023-31405
- Référence CVE CVE-2023-44487 https://www.cve.org/CVERecord?id=CVE-2023-44487
- Référence CVE CVE-2023-49583 https://www.cve.org/CVERecord?id=CVE-2023-49583
- Référence CVE CVE-2023-50422 https://www.cve.org/CVERecord?id=CVE-2023-50422
- Référence CVE CVE-2023-50423 https://www.cve.org/CVERecord?id=CVE-2023-50423
- Référence CVE CVE-2023-50424 https://www.cve.org/CVERecord?id=CVE-2023-50424
- Référence CVE CVE-2024-21734 https://www.cve.org/CVERecord?id=CVE-2024-21734
- Référence CVE CVE-2024-21735 https://www.cve.org/CVERecord?id=CVE-2024-21735
- Référence CVE CVE-2024-21736 https://www.cve.org/CVERecord?id=CVE-2024-21736
- Référence CVE CVE-2024-21737 https://www.cve.org/CVERecord?id=CVE-2024-21737
- Référence CVE CVE-2024-21738 https://www.cve.org/CVERecord?id=CVE-2024-21738
- Référence CVE CVE-2024-22124 https://www.cve.org/CVERecord?id=CVE-2024-22124
- Référence CVE CVE-2024-22125 https://www.cve.org/CVERecord?id=CVE-2024-22125