Vulnérabilités dans les produits SAP
Date de publication :
De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP, suite de progiciels de gestion intégrée. Un attaquant distant exploitant ces vulnérabilités peut ainsi causer une situation de déni de service, exécuter du code arbitraire, impacter la confidentialité et l’intégrité de données ou encore accéder à des fonctionnalités protégées.
CVE-2020-6207 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans SAP Solution Manager (User Experience Monitoring). Un attaquant distant exploitant cette vulnérabilité peut compromettre la totalité des SMDAgents connectés au programme dû à une absence d’authentification de services.
CVE-2020-6198 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans SAP Solution Manager (Diagnostics Agent). Un attaquant distant peut profiter de l’absence de chiffrement et d'authentification des connexions destinées au programme afin d’effectuer des appels à des fonctionnalités protégées.
CVE-2020-6203 [Score CVSS v3 : 9.1] : Une vulnérabilité de type “path traversal” a été découverte dans SAP NetWeaver UDDI Server (Services Registry). Un attaquant distant exploitant cette vulnérabilité peut accéder au système de fichiers du système en présentant des caractères de saut au dossier parent dans une URI.
CVE-2020-6209 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans SAP Disclosure Management. Un attaquant distant disposant d’un compte utilisateur sans rôle peut accéder à des fonctionnalités administrateur en profitant d’une absence de vérification d’autorisations.
CVE-2020-6208 [Score CVSS v3 : 7.5] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans SAP Business Objects Business Intelligence Platform (Crystal Reports). Un attaquant local disposant de privilèges basiques peut injecter du code qui sera exécuté par le programme, contrôlant ainsi le comportement de l’application.
CVE-2020-6196 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans SAP BusinessObjects Mobile (MobileBIService). Un attaquant distant exploitant cette vulnérabilité peut mener à une situation de déni de service en générant de multiples requêtes destinées au programme.
CVE-2018-2450 [Score CVSS v3 : 7.2] : Une vulnérabilité de type injection SQL a été découverte dans SAP MaxDB (liveCache). Un attaquant disposant de certains privilèges sur la base de données exploitant cette vulnérabilité peut compromettre la confidentialité et l’intégrité du contenu de la base en exécutant des requêtes SQL spécialement conçues.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
- Contournement d’authentification
- Contournement de restriction d’autorisations
- Exposition du système de fichiers
- Perte de confidentialité et intégrité de données
Criticité
- Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant. L’exploitation de certaines vulnérabilités est cependant considérée comme étant accessible à un faible niveau de connaissances.
Composants vulnérables
- SAP Solution Manager (User Experience Monitoring) version 7.2
- SAP Solution Manager (Diagnostics Agent) version 720
- SAP NetWeaver UDDI Server (Services Registry) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Disclosure Management version 10.1
- SAP Business Objects Business Intelligence Platform (Crystal Reports) versions 4.1 et 4.2
- SAP BusinessObjects Mobile (MobileBIService) version 4.2
- SAP MaxDB (liveCache) versions 7.8 et 7.9
CVE
- CVE-2020-6207
- CVE-2020-6198
- CVE-2020-6203
- CVE-2020-6209
- CVE-2020-6208
- CVE-2020-6196
- CVE-2018-2450
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer les correctifs de sécurité proposés par l’éditeur
Solution de contournement
- Aucune solution de contournement n’est disponible