Vulnérabilités dans plusieurs produits SAP

Date de publication :

CVE-2021-21477[Score CVSS v3 : En cours de calcul] : Une vulnérabilité concernant SAP Commerce a été corrigée. Son exploitation peut permettre à un attaquant distant d’exécuter de code arbitraire au sein du dispositif vulnérable.

CVE-2021-21465[Score CVSS v3 : 9.9] : Cette vulnérabilité regroupe plusieurs failles critiques non-spécifiées dans SAP Business Warehouse. Leur exploitation peut se faire à distance et nécessite de s’authentifier.

CVE-2020-26832[Score CVSS v3 : 7.6] : Une vulnérabilité a été corrigée dans SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS). Un attaquant distant et non-authentifié peut potentiellement élever ses privilèges sur les dispositifs vulnérables. Cette faille est due à une non-vérification de l’authentification dans le logiciel.

CVE-2021-21446[Score CVSS v3 : 7.5] : Cette vulnérabilité peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service selon un mode opératoire non-spécifié dans SAP NetWeaver AS ABAP et ABAP Platform.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Elévation de privilèges
  • Déni de service

Criticité

  • Scores CVSS v3 : 7.5 ; 7.6 ; 9.9 ; En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

  • SAP Commerce, Versions - 1808,1811,1905,2005,2011
  • SAP Business Warehouse, Versions - 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
  • SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS), Versions - 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
  • SAP S4 HANA (SAP Landscape Transformation), Versions - 101, 102, 103, 104, 105 
  • SAP NetWeaver AS ABAP, Versions - 740, 750, 751, 752, 753, 754, 755 

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer le patch de sécurité de Février 2020 proposé par SAP.

Solution de contournement

  • Aucune solution de contournement n’est disponible à l’heure actuelle.

Liens