「4月13日 2021, SAP Security Patch Dayは、 14 セキュリティ上の注意,」その中で最も危険なものは、ビジネスクライアント製品に影響を及ぼします.
SAPビジネスクライアントのバグ
脆弱性はビジネスクライアント製品に存在します, これは、複数のSAPビジネスアプリケーションへのエントリポイントとして機能するユーザーインターフェイスです。. この問題がChromiumベースのブラウザコントロールにあることは注目に値します, アプリ自体ではありません. 欠陥に関する技術的な詳細は利用できません; これまでのところ, 唯一知られていることは、それが評価されているということです 10 から 10 重大度の観点から.
CVE-2021-27602
今月の一連のパッチで修正されたもう1つの脆弱性は、CVE-2021-27602です。, SAPのバックオフィスアプリのバグ:
SAPコマース, バージョン – 1808, 1811, 1905, 2005, 2011, バックオフィスアプリケーションを使用すると、特定の許可されたユーザーが、アプリケーション内の特定のモジュールに公開されたときにdroolsルールに変換されるソースルールを作成できます。. この認証を受けた攻撃者は、ソースルールに悪意のあるコードを挿入し、リモートでコードを実行して機密性を侵害する可能性があります。, アプリケーションの整合性と可用性, によって提供される説明によると 全国脆弱性データベース.
CVE-2021-21481
同社はまた、NetWeaver製品のセキュリティ上の欠陥にも対処しました, CVE-2021-21481として識別:
MigrationService, これはSAPNetWeaverバージョンの一部です 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, 承認チェックを実行しません. これにより、権限のない攻撃者が構成オブジェクトにアクセスできる可能性があります, 管理者権限を付与するものを含む. これにより、システムの機密性が完全に損なわれる可能性があります, 威厳, と可用性.
CVE-2021-21481も非常に厳しいです, のスコアで 9.6 から 10.
今週リリースされた残りのパッチは、いくつかの中程度の重大度の欠陥を修正します. 同じ製品の複数の脆弱性は、単一のセキュリティノートで修正できます, SAPは言った.
SAPのミッションクリティカルなアプリのバグを悪用するハッカー
今月上旬, ハッカーがいくつかのセキュリティの脆弱性を悪用していることを報告しました 人気のあるミッションクリティカルなSAPアプリケーション. 脆弱性により、完全な乗っ取りが可能になり、対象となる脆弱な組織へのアクセスが可能になります. 同社は、多くの組織でタイムリーな緩和策がないため、通常、攻撃者がエクスプロイトウィンドウを開いたままにしていると指摘しました。. したがって, 利用可能になったらすべてのセキュリティパッチを適用することは、影響を受けるすべてのエンティティによって非常に優先される必要があります.