Vulnérabilités dans SAP

Date de publication :

De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP, suite de progiciels de gestion intégré. Un attaquant exploitant ces vulnérabilités peut impacter la confidentialité des données utilisateur, contourner des politiques d’authentification, modifier des fichiers arbitraires sur le système de fichier du système, ou encore exécuter du code arbitraire.

CVE-2020-6238 [Score CVSS v3 : 9.3] : Une vulnérabilité causée par un mauvais traitement des entrées XML a été découverte dans SAP Commerce (versions 6.6, 6.7, 1808, 1811 et 1905). Un attaquant distant exploitant cette vulnérabilité peut provoquer un impact non-spécifié de confidentialité et, dans une moindre mesure, de disponibilité (déni de service).

CVE-2019-0330 [Score CVSS v3 : 9.1] : Une vulnérabilité de type injection de commande a été découverte dans SAP Diagnostic Agent version 7.2. Un attaquant distant exploitant cette vulnérabilité peut injecter du code arbitraire qui sera exécuté par le programme.

CVE-2020-6225 [Score CVSS v3 : 9.1] : Une vulnérabilité de type “path traversal” a été découverte dans SAP NetWeaver (versions KMC-CM 7.00 à 7.50 incluse et KMC-WPC 7.30 à 7.50 incluse). Un attaquant distant exploitant cette vulnérabilité peut modifier un fichier arbitraire sur le système de fichiers en injectant des caractères de déplacement (e.g. “..”) dans un nom de fichier.

CVE-2020-6219 [Score CVSS v3 : 9.1] : Une vulnérabilité causée par une non-vérification d’entrées utilisateur a été découverte dans SAP Business Objects Business Intelligence Platform (versions 4.1 et 4.2). Un attaquant distant exploitant cette vulnérabilité et disposant d’autorisations d’accès basiques peut mener le programme à désérialiser des données non-vérifiées, pouvant ainsi mener à un déni de service (plantage de l’application), voire à l’exécution de code arbitraire.

CVE-2020-6230 [Score CVSS v3 : 9.1] : Une vulnérabilité de type injection de code a été découverte dans SAP OrientDB (version 3.0). Un attaquant distant disposant de l’autorisation d’écrire ou exécuter des scripts peut forcer le programme à exécuter du code arbitraire.

CVE-2020-6235 [Score CVSS v3 : 8.6] : Une vulnérabilité liée à une absence d’authentification a été découverte dans SAP Solution Manager (version 7.2). Un attaquant distant exploitant cette vulnérabilité peut ainsi causer un impact non-spécifié.

CVE-2020-6208 [Score CVSS v3 : 8.1] : Une vulnérabilité de type injection de code a été découverte dans SAP Business Objects Business Intelligence Platform (versions 4.1 et 4.2). Un attaquant local disposant d’un niveau basique d’autorisations peut forcer le programme à injecter du code arbitraire. 

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Contournement de politiques d’authentification
  • Perte de confidentialité des données utilisateur
  • Modification de fichier arbitraire
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 9.3 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation disponible publiquement à ce jour

Composants vulnérables

  • SAP Commerce: versions 6.6, 6.7, 1808, 1811 et 1905
  • SAP Diagnostic Agent: version 7.2
  • SAP NetWeaver: versions KMC-CM 7.00 à 7.50 incluse et KMC-WPC 7.30 à 7.50 incluse
  • SAP Business Objects Business Intelligence Platform: versions 4.1 et 4.2
  • SAP OrientDB: version 3.0
  • SAP Solution Manager: version 7.2
  • SAP Business Objects Business Intelligence Platform: versions 4.1 et 4.2

CVE

  • CVE-2020-6238
  • CVE-2019-0330
  • CVE-2020-6225
  • CVE-2020-6219
  • CVE-2020-6230
  • CVE-2020-6235
  • CVE-2020-6208

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le logiciel concerné vers une version non-vulnérable (voir la section “composants vulnérables)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens