Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
Systèmes affectés
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
- Commerce Cloud versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
- HCM version S4HCMGXX 101 sans le dernier correctif de sécurité
- NetWeaver Administrator (System Overview) version LM-CORE 7.50 sans le dernier correctif de sécurité
- NetWeaver Application Server ABAP versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89 et 7.93 sans le dernier correctif de sécurité
- NetWeaver Application Server for ABAP and ABAP Platform versions SAP_BASIS 740, SAP_BASIS 750, KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 et 9.13 sans le dernier correctif de sécurité
- NetWeaver AS for JAVA (Adobe Document Services) version ADSSSAP 7.50 sans le dernier correctif de sécurité
- NetWeaver AS JAVA version LM-CORE 7.50 sans le dernier correctif de sécurité
- Product Lifecycle Costing version PLC_CLIENT 4 sans le dernier correctif de sécurité
- Web Dispatcher versions WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12 et 9.13 sans le dernier correctif de sécurité
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP december-2024 du 10 décembre 2024 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2024.html
- Référence CVE CVE-2024-28166 https://www.cve.org/CVERecord?id=CVE-2024-28166
- Référence CVE CVE-2024-32732 https://www.cve.org/CVERecord?id=CVE-2024-32732
- Référence CVE CVE-2024-41731 https://www.cve.org/CVERecord?id=CVE-2024-41731
- Référence CVE CVE-2024-42375 https://www.cve.org/CVERecord?id=CVE-2024-42375
- Référence CVE CVE-2024-47576 https://www.cve.org/CVERecord?id=CVE-2024-47576
- Référence CVE CVE-2024-47577 https://www.cve.org/CVERecord?id=CVE-2024-47577
- Référence CVE CVE-2024-47578 https://www.cve.org/CVERecord?id=CVE-2024-47578
- Référence CVE CVE-2024-47579 https://www.cve.org/CVERecord?id=CVE-2024-47579
- Référence CVE CVE-2024-47580 https://www.cve.org/CVERecord?id=CVE-2024-47580
- Référence CVE CVE-2024-47581 https://www.cve.org/CVERecord?id=CVE-2024-47581
- Référence CVE CVE-2024-47582 https://www.cve.org/CVERecord?id=CVE-2024-47582
- Référence CVE CVE-2024-47585 https://www.cve.org/CVERecord?id=CVE-2024-47585
- Référence CVE CVE-2024-47586 https://www.cve.org/CVERecord?id=CVE-2024-47586
- Référence CVE CVE-2024-47590 https://www.cve.org/CVERecord?id=CVE-2024-47590
- Référence CVE CVE-2024-54197 https://www.cve.org/CVERecord?id=CVE-2024-54197
- Référence CVE CVE-2024-54198 https://www.cve.org/CVERecord?id=CVE-2024-54198
