«Le 13 avril 2021, La journée des correctifs de sécurité SAP a vu la sortie de 14 Notes de sécurité,”Dont le plus dangereux affecte son produit Business Client.
Le bogue de SAP Business Client
La vulnérabilité réside dans le produit Business Client, qui est une interface utilisateur servant de point d'entrée à plusieurs applications métier SAP. Il est à noter que le problème se situe dans le contrôle du navigateur basé sur Chromium, pas dans l'application elle-même. Les détails techniques sur la faille ne sont pas disponibles; jusque là, la seule chose connue est qu'il est noté 10 de 10 en termes de sévérité.
CVE-2021-27602
Une autre vulnérabilité corrigée dans la série de correctifs de ce mois-ci est CVE-2021-27602., un bug dans l'application Backoffice de SAP:
SAP Commerce, versions – 1808, 1811, 1905, 2005, 2011, L'application Backoffice permet à certains utilisateurs autorisés de créer des règles source qui sont traduites en règle bave lorsqu'elles sont publiées dans certains modules de l'application. Un attaquant disposant de cette autorisation peut injecter du code malveillant dans les règles sources et effectuer l'exécution de code à distance leur permettant de compromettre la confidentialité, intégrité et disponibilité de l'application, selon la description fournie par le Base de données nationale de la vulnérabilité.
CVE-2021-21481
La société a également corrigé une faille de sécurité dans son produit NetWeaver, identifié comme CVE-2021-21481:
Le service de migration, qui fait partie des versions de SAP NetWeaver 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, n'effectue pas de contrôle d'autorisation. Cela peut permettre à un attaquant non autorisé d'accéder aux objets de configuration, y compris ceux qui accordent des privilèges administratifs. Cela pourrait entraîner une compromission complète de la confidentialité du système, intégrité, et la disponibilité.
Le CVE-2021-21481 est également assez sévère, avec un score de 9.6 de 10.
Le reste des correctifs publiés cette semaine corrige plusieurs défauts de gravité moyenne. Plusieurs vulnérabilités dans le même produit peuvent être corrigées par une seule note de sécurité, SAP a dit.
Des pirates exploitant des bogues dans les applications stratégiques de SAP
Plus tôt ce mois-ci, nous avons signalé des pirates exploitant plusieurs vulnérabilités de sécurité dans applications SAP stratégiques populaires. Les vulnérabilités ont permis une prise de contrôle complète et donnent accès aux organisations vulnérables ciblées. La société a souligné que le manque de mesures d'atténuation en temps opportun dans de nombreuses organisations laisse généralement une fenêtre d'exploitation ouverte aux attaquants.. Donc, l'application de tous les correctifs de sécurité une fois qu'ils sont disponibles doit être hautement prioritaire par toutes les entités concernées.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: