Vulnérabilités dans les produits SAP

De multiples vulnérabilités ont été découvertes dans les produits SAP. Un attaquant distant peut exécuter des commandes arbitraires, exécuter du code Javascript sur le navigateur d’un utilisateur, utiliser des identifiants programmés en dur, ainsi que d’autres impacts non-spécifiés.

CVE-2020-6364 [Score CVSS v3 : 10.0] : Une vulnérabilité de type injection de commandes a été découverte dans SAP Solution Manager et SAP Focused Run. Un attaquant distant non-authentifié peut exécuter des commandes arbitraires sur le système via un vecteur non-spécifié. 

CVE-2020-6367 [Score CVSS v3 : 8.2] : Une vulnérabilité de type cross-site scripting (XSS) a été découverte dans SAP NetWeaver Composite Application Framework. Un attaquant distant non-authentifié peut exécuter du code Javascript arbitraire sur le navigateur d’un utilisateur, via un vecteur non-spécifié.

CVE-2020-6366 [Score CVSS v3 : 7.6] : Une vulnérabilité causée par une non-validation de contenus XML a été découverte dans SAP NetWeaver. Un attaquant distant disposant d’un haut niveau de privilèges peut provoquer un impact non-spécifié.

CVE-2020-6369 [Score CVSS v3 : 7.5] : Une vulnérabilité causée par des identifiants enregistrés en dur a été découverte dans SAP Solution Manager et SAP Focused Run. Un attaquant distant non-authentifié peut contourner les politiques d’authentification en place en utilisant ces identifiants.