S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 février 2025
N° CERTFR-2025-AVI-0114
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2025-AVI-0114
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version11 février 2025
Date de la dernière version11 février 2025
Source(s) Bulletin de sécurité SAP february-2025 du 10 février 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • ABAP Platform (ABAP Build Framework) versions SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
  • BusinessObjects Business Intelligence platform (Central Management Console) versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
  • BusinessObjects Platform (BI Launchpad) versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
  • Commerce (Backoffice) versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
  • Commerce versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
  • Enterprise Project Connection version 3.0 sans le dernier correctif de sécurité
  • Fiori Apps Reference Library (My Overtime Requests) version GBX01HR5 605 sans le dernier correctif de sécurité
  • Fiori for ERP versions SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
  • GUI for Windows version BC-FES-GUI 8.00 sans le dernier correctif de sécurité
  • HANA extended application services, advanced model (User Account and Authentication Services) version SAP_EXTENDED_APP_SERVICES 1 sans le dernier correctif de sécurité
  • NetWeaver and ABAP Platform (SDCCN) versions ST-PI 2008_1_700, ST-PI 2008_1_710 et ST-PI 740 sans le dernier correctif de sécurité
  • NetWeaver and ABAP platform (ST-PI) versions ST-PI 2008_1_700, ST-PI 2008_1_710 et ST-PI 740 sans le dernier correctif de sécurité
  • NetWeaver Application Server Java version WD-RUNTIME 7.50 sans le dernier correctif de sécurité
  • NetWeaver Application Server Java versions EP-BASIS 7.50 et FRAMEWORK-EXT 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS Java (User Admin Application) version 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS Java for Deploy Service versions ENGINEAPI 7.50 et SERVERCORE 7.50 sans le dernier correctif de sécurité
  • NetWeaver Server ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
  • Supplier Relationship Management (Master Data Management Catalog) version SRM_MDM_CAT 7.52 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 février 2025
    Version initiale