Casa > cibernético Notícias > CVE-2021-21477: Vulnerabilidade crítica na plataforma SAP Commerce
CYBER NEWS

CVE-2021-21477: Vulnerabilidade crítica na plataforma SAP Commerce

por   |  Last Update:  |  0 Comentários  

sinal de vulnerabilidadeUma nova vulnerabilidade crítica que afeta a plataforma SAP Commerce foi relatada ontem.

CVE-2021-21477 na plataforma SAP Commerce

CVE-2021-21477 pode permitir que os agentes da ameaça aproveitem o aplicativo SAP usado por empresas de comércio eletrônico, levando à execução remota de código. A falha afeta as versões do SAP Commerce 1808, 1811, 1905, 2005, e 2011. Sua pontuação de gravidade é 9.9 em dez de acordo com a escala CVSS, tornando o impacto crítico. Mitigar a vulnerabilidade o mais rápido possível é altamente recomendável.

Como funciona a vulnerabilidade?
Pode permitir que usuários específicos com privilégios necessários editem regras do Drools, um motor que cria as regras para a plataforma. As empresas usam essas regras para navegar em suas variações complexas de tomada de decisão.




Mais especificamente, o bug se origina de uma certa regra que contém um atributo ruleContent, fornecendo recursos de script. Uma configuração incorreta das permissões de usuário padrão enviadas com o SAP Commerce pode permitir que usuários com privilégios inferiores e grupos de usuários obtenham permissões e alterem o DroolsRule ruleContents. Essa alteração pode, então, levar a acesso não intencional aos recursos de script correspondentes.

Em outras palavras, um invasor com privilégios mais baixos pode ser capaz de injetar código nos scripts de regras do Drools. A injeção de tal código cria uma condição de execução remota de código, o que pode levar ao comprometimento do host subjacente.

Um patch para CVE-2021-21477 está disponível, Mas…

Felizmente, um patch já foi lançado. Contudo, a correção é apenas parcial, uma vez que aborda as permissões padrão ao inicializar uma nova instalação da plataforma.

“Para instalações existentes do SAP Commerce, etapas adicionais de correção manual são necessárias. A boa notícia é que para instalações existentes, essas etapas de correção manual podem ser usadas como uma solução alternativa completa para instalações do SAP Commerce que não podem instalar as versões de patch mais recentes em tempo hábil,” explicado pesquisador de segurança Thomas Fritsch da Onapsis.

Em julho 2020, outra vulnerabilidade crítica de segurança foi detectada no aplicativo SAP NetWeaver, que contém um componente Java chamado LM Configuration Wizard. A vulnerabilidade CVE-2020-6287 foi abusado por grupos de hackers. O número de empresas afetadas que incluem este software é de cerca 400,000. Uma auditoria de segurança independente revelou que havia 2,500 Sistemas SAP expostos à Internet e vulneráveis ​​ao bug.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Vulnerabilidades perigosas em aplicativos SAP de missão crítica, remendo Agora Hackers are currently exploiting several security vulnerabilities in popular mission-critical...
  2. Vulnerabilidades críticas em produtos SAP Business Client (CVE-2021-27602) “Em 13 de abril 2021, SAP Security Patch Day viu...
  3. CVE-2020-6287: Vulnerabilidade RECON usada para invadir sistemas SAP A dangerous RECON bug is being used by computer hackers...
  4. Adobe Patches 112 Vulnerabilidades no Últimas Patch Package (CVE-2018-5007) A Adobe lançou o pacote de patch mais recente que aborda um...
  5. Vulnerabilidades graves na plataforma SAP HANA podem permitir controle total As plataformas SAP HANA acabam de ser consideradas vulneráveis, containing several...
  6. Julho 2021 patch Tuesday: CVE-2021-34448 explorado ativamente corrigido Microsoft Windows julho 2021 Patch Tuesday acaba de lançar, remendos...
  7. CVE-2021-1675: Vulnerabilidade crítica do spooler de impressão do Windows CVE-2021-1675 is a critical Windows vulnerability with an available proof-of-concept...
  8. Novos bugs críticos no Firefox, Chrome e Edge (CVE-2020-16044) Os usuários devem corrigir várias novas vulnerabilidades do navegador que afetam o Chrome, Raposa de fogo,...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo