Vulnérabilités dans plusieurs produits SAP
Date de publication :
CVE-2021-27602 [Score CVSS v3 : 9.9]
Une vulnérabilité au sein l’application de Backoffice de SAP Commerce a été corrigée. L'application Backoffice permet à certains utilisateurs autorisés de créer des règles sources qui sont traduites en règles 'drools' lorsqu'elles sont publiées dans certains modules de l'application. Un attaquant distant et disposant de cette autorisation peut exécuter du code arbitraire au sein des règles sources de l’application.
CVE-2021-27610 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée au sein de SAP NetWeaver ABAP Server et ABAP Platform. Cette faille est due au fait que le logiciel ne crée pas d'informations sur l'utilisateur RFC interne et externe dans un format cohérent et distingué. Son exploitation peut permettre à un attaquant distant et non authentifié d’obtenir des accès illégitimes au système.
CVE-2021-27606, CVE-2021-27629, CVE-2021-27630, CVE-2021-27631, CVE-2021-27632 [Scores CVSS v3 : 7.5]
Une vulnérabilité a été corrigée dans SAP NetWeaver ABAP Server et ABAP Platform (Enqueue Server). Son exploitation peut permettre à un attaquant distant et non authentifié d'envoyer un paquet spécialement conçu sur un réseau qui déclenche une erreur interne dans le système en raison d'une validation d'entrée incorrecte dans la méthode EncOAMParamStore(), provoquant le crash du système et le rendant indisponible.
CVE-2021-27597, CVE-2021-27633, CVE-2021-27634 [Scores CVSS v3 : 7.5]
Une vulnérabilité a été corrigée dans SAP NetWeaver ABAP Server et ABAP Platform (RFC Gateway). Son exploitation peut permettre à un attaquant distant et non authentifié d'envoyer un paquet spécialement conçu sur un réseau qui déclenche une erreur interne dans le système en raison d'une validation d'entrée incorrecte dans la méthode memmove(), provoquant le crash du système et le rendant indisponible.
CVE-2021-27607, CVE-2021-27628 [Scores CVSS v3 : 7.5]
Une vulnérabilité a été corrigée dans SAP NetWeaver ABAP Server et ABAP Platform (Dispatcher). Son exploitation peut permettre à un attaquant distant et non authentifié d'envoyer un paquet spécialement conçu sur un réseau qui déclenche une erreur interne dans le système en raison d'une validation d'entrée incorrecte dans la méthode ThSncIn(), provoquant le crash du système et le rendant indisponible.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code
- Contournement d’authentification
- Déni de service
Criticité
- Scores CVSS v3 : 9.9 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- SAP NetWeaver AS ABAP and ABAP Platform versions antérieures à 700,701,702,731,740,750,751,752,753,754,755,804
- SAP NetWeaver AS for JAVA, Versions - 7.20, 7.30, 7.31, 7.40, 7.50
- SAP NetWeaver AS for ABAP (RFC Gateway) versions antérieures à KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73,7.77,7.81,7.82,7.83
- SAP NetWeaver ABAP Server and ABAP Platform (Enqueue Server) versions antérieures à KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73
- SAP NetWeaver ABAP Server and ABAP Platform (Dispatcher) versions antérieures à KRNL32NUC - 7.22,7.22EXT, KRNL32UC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT,7.49, KRNL64UC - 8.04,7.22,7.22EXT,7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49,7.53,7.73,7.77,7.81,7.82,7.83
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de SAP.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.