Objet: Multiples vulnérabilités dans les produits SAP

Risques

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Injection de code indirecte à distance (XSS)
• Non spécifié par l'éditeur

Systèmes affectés

• Bibliothèque @sap/approuter versions antérieures à 16.7.1
• Business Objects Business Intelligence Platform (Web Intelligence) versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
• Business Objects Business Intelligence Platform versions ENTERPRISE 430, 2025,2027, ENTERPRISECLIENTTOOLS 430 et 2025 sans le dernier correctif de sécurité
• Business One (Service Layer) versions B1_ON_HANA 10.0 et SAP-M-BO 10.0 sans le dernier correctif de sécurité
• Business Warehouse (Process Chains) versions DW4CORE 100, DW4CORE 200, DW4CORE 300, DW4CORE 400, DW4CORE 914, SAP_BW 730, SAP_BW 731, SAP_BW 740 et SAP_BW 750 sans le dernier correctif de sécurité
• Commerce (Swagger UI) version COM_CLOUD 2211 sans le dernier correctif de sécurité
• Commerce Cloud et Datahub, versions Y_COM 2205, HY_DHUB 2205, COM_CLOUD 2211 et DHUB_CLOUD 2211 sans le dernier correctif de sécurité
• Commerce Cloud versions Y-COM 2205 et COM-CLOUD 2211 sans le dernier correctif de sécurité
• CRM et S/4HANA (Interaction Center) versions S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800 et 801 sans le dernier correctif de sécurité
• Electronic Invoicing for Brazil (eDocument Cockpit) versions SAP_APPL 617, 618, S4CORE 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
• Fiori apps (Posting Library) versions S4CORE 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
• Just In Time versions S4CORE 102, 103, 104, 105, 106, 107, 108 et ECC-DIMP 618 sans le dernier correctif de sécurité
• NetWeaver (ABAP Class Builder) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 914 sans le dernier correctif de sécurité
• NetWeaver Application Server ABAP (applications based on GUI for HTML) versions KRNL64UC 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 et KERNEL 9.14 sans le dernier correctif de sécurité
• NetWeaver Application Server ABAP versions SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 914 sans le dernier correctif de sécurité
• NetWeaver Application Server Java version AJAX-RUNTIME 7.50 sans le dernier correctif de sécurité
• NetWeaver Enterprise Portal (OBN component) version EP-RUNTIME 7.50 sans le dernier correctif de sécurité
• PDCE versions S4CORE 102, 103, S4COREOP 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
• Permit to Work versions UIS4HOP1 800 et 900 sans le dernier correctif de sécurité
• S/4HANA (Manage Bank Statements) versions S4CORE 107 et S4CORE 108 sans le dernier correctif de sécurité
• S/4HANA (RBD) versions S4CORE 102, 103, 104, 105, 106, 107, 108, EA-FINSERV 618 et EA-FINSERV 800 sans le dernier correctif de sécurité
• Web Dispatcher et Internet Communication Manager versions KRNL64UC 7.53, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.89, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 et KERNEL 9.14 sans le dernier correctif de sécurité

Documentation

• Bulletin de sécurité SAP march-2025 du 11 mars 2025
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2025.html
• Référence CVE CVE-2024-38286
https://www.cve.org/CVERecord?id=CVE-2024-38286
• Référence CVE CVE-2024-38819
https://www.cve.org/CVERecord?id=CVE-2024-38819
• Référence CVE CVE-2024-38820
https://www.cve.org/CVERecord?id=CVE-2024-38820
• Référence CVE CVE-2024-39592
https://www.cve.org/CVERecord?id=CVE-2024-39592
• Référence CVE CVE-2024-41736
https://www.cve.org/CVERecord?id=CVE-2024-41736
• Référence CVE CVE-2024-52316
https://www.cve.org/CVERecord?id=CVE-2024-52316
• Référence CVE CVE-2025-0062
https://www.cve.org/CVERecord?id=CVE-2025-0062
• Référence CVE CVE-2025-0071
https://www.cve.org/CVERecord?id=CVE-2025-0071
• Référence CVE CVE-2025-23185
https://www.cve.org/CVERecord?id=CVE-2025-23185
• Référence CVE CVE-2025-23188
https://www.cve.org/CVERecord?id=CVE-2025-23188
• Référence CVE CVE-2025-23194
https://www.cve.org/CVERecord?id=CVE-2025-23194
• Référence CVE CVE-2025-24876
https://www.cve.org/CVERecord?id=CVE-2025-24876
• Référence CVE CVE-2025-25242
https://www.cve.org/CVERecord?id=CVE-2025-25242
• Référence CVE CVE-2025-25244
https://www.cve.org/CVERecord?id=CVE-2025-25244
• Référence CVE CVE-2025-25245
https://www.cve.org/CVERecord?id=CVE-2025-25245
• Référence CVE CVE-2025-26655
https://www.cve.org/CVERecord?id=CVE-2025-26655
• Référence CVE CVE-2025-26656
https://www.cve.org/CVERecord?id=CVE-2025-26656
• Référence CVE CVE-2025-26658
https://www.cve.org/CVERecord?id=CVE-2025-26658
• Référence CVE CVE-2025-26659
https://www.cve.org/CVERecord?id=CVE-2025-26659
• Référence CVE CVE-2025-26660
https://www.cve.org/CVERecord?id=CVE-2025-26660
• Référence CVE CVE-2025-26661
https://www.cve.org/CVERecord?id=CVE-2025-26661
• Référence CVE CVE-2025-27430
https://www.cve.org/CVERecord?id=CVE-2025-27430
• Référence CVE CVE-2025-27431
https://www.cve.org/CVERecord?id=CVE-2025-27431
• Référence CVE CVE-2025-27432
https://www.cve.org/CVERecord?id=CVE-2025-27432
• Référence CVE CVE-2025-27433
https://www.cve.org/CVERecord?id=CVE-2025-27433
• Référence CVE CVE-2025-27434
https://www.cve.org/CVERecord?id=CVE-2025-27434
• Référence CVE CVE-2025-27436
https://www.cve.org/CVERecord?id=CVE-2025-27436