SAP corrige 8 vulnérabilités sur ses produits
Date de publication :
SAP a publié une liste de correctifs dans le cadre de son « Patch Day » du mois de mai. Dans cette publication, 8 vulnérabilités ont été corrigées dont 1 est considérée comme importante et les 7 autres comme modérées.
Ces vulnérabilités impactent plusieurs produits de la gamme du progiciel de gestion.
Détails techniques des vulnérabilités critiques :
- CVE-2019-0301 [CVSS v3 8.8] : Possibilité de demander la modification des attributions de rôles ou de privilèges via l'interface REST de SAP Identity Management Version 2, en principe limitée à une simple consultation.
- CVE-2019-0287 [CVSS v3 7.6] : Les versions 4.2 et 4.3 de la plate-forme SAP Business Objects Business Intelligence (Central Management Server) possèdent des vulnérabilités qui permettent à un attaquant d'accéder à des informations qui, autrement, lui seraient restreintes.
- CVE-2019-0280 [CVSS 8.8] : Les solutions SAP Treasury and Risk Management possède une vulnérabilité qui n'effectue pas les contrôles d'autorisation nécessaires pour certains objets d'autorisation, ce qui entraîne une élévation des privilèges.
- CVE-2019-0298 [CVSS 6.1] : L'application SAP E-Commerce (Business-to-Consumer) ne contrôle pas suffisamment les entrées de l'utilisateur, ce qui peut entraîner une vulnérabilité de type Cross-Site Scripting (XSS).
- CVE-2019-0289 [CVSS 7.1] : Les versions 4.2 et 4.3 de la plate-forme SAP Business Objects Business Intelligence (Analysis for OLAP), possède une vulnérabilité qui permet à un attaquant d'accéder à des informations qui, autrement, lui seraient restreintes.
- CVE-2019-0293 [CVSS 6.5] : La lecture de la destination RFC n'effectue pas toujours les vérifications d'autorisation nécessaires, ce qui entraîne une élévation de privilèges d'accès aux informations sur les destinations RFC sur les systèmes gérés et le système SAP Solution Manager.
- CVE-2019-0291 [CVSS 5.5] : La version 7.2 du module Solution Manager permet à un attaquant d'accéder à des informations qui, autrement, lui seraient restreintes.
- CVE-2018-2484 [CVSS 8.8] : SAP Enterprise Financial Services n'effectue pas les vérifications d'autorisation nécessaires pour un utilisateur authentifié, ce qui peut entraîner une élévation de privilèges.
Les utilisateurs sont invités à mettre à jour ces composants au plus vite en se rendant sur SAP Support LaunchPad.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Elévation de privilèges ;
- Cross-site scripting (XSS).
Criticité
- Score CVSS maximum : 8.80
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d'exploitation n'a été diffusé.
Composants & versions vulnérables
- SAP Identity Management (REST Interface); Version - 2 (CVE-2019-0301)
- SAP BusinessObjects Business Intelligence platform (Central Management Server), Versions - 4.20, 4.30 (CVE-2019-0287)
- SAP Treasury and Risk Management, Versions - 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 617, 6.18, 8.0 (CVE-2019-0280)
- SAP E-Commerce (Business-to-Consumer), Versions - (SAP-CRMJAV SAP-CRMWEB SAP-SHRWEB SAP-SHRJAV SAP-CRMAPP SAP-SHRAPP) 7.30, 7.31, 7.32, 7.33, 7.54 (CVE-2019-0298)
- SAP BusinessObjects Business Intelligence platform, Versions - 4.2, 4.3 (CVE-2019-0289)
- SAP Solution Manager system (ST-PI), Versions - 2008_1_700, 2008_1_710, and 740 (CVE-2019-0293)
- Solution Manager, Version - 7.2 (CVE-2019-0291)
- SAP Enterprise Financial Services, Versions - SAPSCORE 1.13, 1.14, 1.15; S4CORE 1.01, 1.02, 1.03;
EA-FINSERV 1.10, 2.0, 5.0, 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0; Bank/CFM 4.63_20 (CVE-2018-2484)
CVE
- CVE-2019-0301
- CVE-2019-0287
- CVE-2019-0280
- CVE-2019-0289
- CVE-2018-2484
- CVE-2019-0291
- CVE-2019-0293
- CVE-2019-0298
Solutions ou recommandations
Mise en place de correctif de sécurité
- Le "Patch Day" du mois de mai corrige l'ensemble des vulnérabilités mentionnées.
Solution de contournement
- Aucune solution de contournement n'a été proposée.