Vulnérabilités dans plusieurs produits SAP
Date de publication :
CVE-2021-27602 [Score CVSS v3 : 9.9]
Une vulnérabilité dans SAP Commerce a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire dans les dispositifs vulnérables.
CVE-2021-21481 [Score CVSS v3 : 8.8]
Une vulnérabilité dans SAP Netweaver as Java a été corrigée. Cette faille est due à un manque de vérification des autorisations dans le logiciel. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-21482 [Score CVSS v3 : 8.3]
Une vulnérabilité dans SAP Netweaver Master Data Management a été corrigée. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non-authentifié d’accéder à des informations potentiellement sensibles.
CVE-2021-21483 [Score CVSS v3 : 8.2]
Une vulnérabilité dans SAP Solution Manager a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’accéder à des informations potentiellement sensibles.
CVE-2020-26832 [Score CVSS v3 : 7.6]
Une vulnérabilité dans SAP S4 HANA a été corrigée. Cette faille est due à un manque de vérification des autorisations dans le logiciel. Son exploitation peut permettre à un attaquant distant et authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-27608 [Score CVSS v3 : 7.5]
Une vulnérabilité dans SAP Setup a été corrigée. Cette faille est due à une faiblesse de code concernant un chemin de recherche. Son exploitation peut permettre à un attaquant distant et authentifié d’effectuer des actions non spécifiées.
CVE-2021-21485 [Score CVSS v3 : 7.4]
Une vulnérabilité dans SAP NetWeaver AS JAVA a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations potentiellement sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Elévation de privilèges
- Exposition d’informations sensibles
Criticité
- Scores CVSS v3 : 9.9 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l'heure actuelle.
Composants vulnérables
- SAP Business Client, Version - 6.5
- SAP Commerce, Versions - 1808, 1811, 1905, 2005, 2011
- SAP NetWeaver AS JAVA (MigrationService), Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver Master Data Management, Versions - 710, 710.750
- SAP Solution Manager, Version - 7.20
- SAP S4 HANA (SAP Landscape Transformation), Versions - 101, 102, 103, 104, 105
- SAP NetWeaver AS for JAVA (Telnet Commands), Versions - ENGINEAPI - 7.30, 7.31, 7.40, 7.50, ESP_FRAMEWORK - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50, SERVERCORE - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, J2EE-FRMW - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les produits impactés conformément aux instructions de l’éditeur SAP.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.