Casa > cibernético Notícias > CVE-2021-21477: Vulnerabilidade crítica na plataforma SAP Commerce
CYBER NEWS

CVE-2021-21477: Vulnerabilidade crítica na plataforma SAP Commerce

sinal de vulnerabilidadeUma nova vulnerabilidade crítica que afeta a plataforma SAP Commerce foi relatada ontem.

CVE-2021-21477 na plataforma SAP Commerce

CVE-2021-21477 pode permitir que os agentes da ameaça aproveitem o aplicativo SAP usado por empresas de comércio eletrônico, levando à execução remota de código. A falha afeta as versões do SAP Commerce 1808, 1811, 1905, 2005, e 2011. Sua pontuação de gravidade é 9.9 em dez de acordo com a escala CVSS, tornando o impacto crítico. Mitigar a vulnerabilidade o mais rápido possível é altamente recomendável.

Como funciona a vulnerabilidade?
Pode permitir que usuários específicos com privilégios necessários editem regras do Drools, um motor que cria as regras para a plataforma. As empresas usam essas regras para navegar em suas variações complexas de tomada de decisão.




Mais especificamente, o bug se origina de uma certa regra que contém um atributo ruleContent, fornecendo recursos de script. Uma configuração incorreta das permissões de usuário padrão enviadas com o SAP Commerce pode permitir que usuários com privilégios inferiores e grupos de usuários obtenham permissões e alterem o DroolsRule ruleContents. Essa alteração pode, então, levar a acesso não intencional aos recursos de script correspondentes.

Em outras palavras, um invasor com privilégios mais baixos pode ser capaz de injetar código nos scripts de regras do Drools. A injeção de tal código cria uma condição de execução remota de código, o que pode levar ao comprometimento do host subjacente.

Um patch para CVE-2021-21477 está disponível, Mas…

Felizmente, um patch já foi lançado. Contudo, a correção é apenas parcial, uma vez que aborda as permissões padrão ao inicializar uma nova instalação da plataforma.

“Para instalações existentes do SAP Commerce, etapas adicionais de correção manual são necessárias. A boa notícia é que para instalações existentes, essas etapas de correção manual podem ser usadas como uma solução alternativa completa para instalações do SAP Commerce que não podem instalar as versões de patch mais recentes em tempo hábil,” explicado pesquisador de segurança Thomas Fritsch da Onapsis.

Em julho 2020, outra vulnerabilidade crítica de segurança foi detectada no aplicativo SAP NetWeaver, que contém um componente Java chamado LM Configuration Wizard. A vulnerabilidade CVE-2020-6287 foi abusado por grupos de hackers. O número de empresas afetadas que incluem este software é de cerca 400,000. Uma auditoria de segurança independente revelou que havia 2,500 Sistemas SAP expostos à Internet e vulneráveis ​​ao bug.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo