Vulnérabilités dans plusieurs produits SAP

Date de publication :

CVE-xxxx-xxxxx [Score CVSS v3 : 10 selon SAP] : Plusieurs vulnérabilités ont été corrigées concernant le navigateur Google Chromium livré avec SAP Business Client.

CVE-2021-27602 [Score CVSS v3 : 9.9] 
Une vulnérabilité présente dans les règles sources (Source Rules) de SAP Commerce a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-21466 [Score CVSS v3 : 8.8] 
Une vulnérabilité dans SAP Business Warehouse et SAP BW/4HANA a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-27611 [Score CVSS v3 : 6.7] 
Une vulnérabilité dans SAP NetWeaver AS ABAP a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié en tant qu’administrateur d’exécuter du code arbitraire sur les dispositifs vulnérables. 

CVE-2021-27616 [Score CVSS v3 : 7.8] 
Plusieurs vulnérabilités non spécifiées ont été corrigées dans SAP HANA. Ces failles sont exploitables par un attaquant local et authentifié.

CVE-2021-27613 [Score CVSS v3 : 7.8] 
Une vulnérabilité a été corrigée dans SAP Business One. Son exploitation peut permettre à un attaquant local et authentifié d’exposer des informations sensibles non spécifiées.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Exposition d’informations sensibles

Criticité

  • Scores CVSS v3 :10 max

Existence d’un code d’exploitation

  • Un exploit (POC) existe pour la CVE-2021-27613.

Composants vulnérables

  • SAP Business Client, Version - 6.5
  • SAP Commerce, Versions - 1808, 1811, 1905, 2005, 2011 
  • SAP Business Warehouse, Versions - 700, 701, 702, 711, 730, 731, 740, 750, 782 
  • SAP NetWeaver AS ABAP, Versions - 700,701,702,730,731
  • SAP Business One, version for SAP HANA (Cookbooks), Versions - 0.1.6, 0.1.7, 0.1.19 
  • SAP Business One (Cookbooks), Version - 0.1.9

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur SAP.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens