Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- SAP Solution Manager (User Experience Monitoring) version 7.2
- SAP Solution Manager (Diagnostics Agent) version 7.2
- SAP Business Client version 6.5
- SAP NetWeaver UDDI Server (Services Registry) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Business Objects Business Intelligence Platform (Crystal Reports) versions 4.1 et 4.2
- SAP Disclosure Management version 10.1
- SAP BusinessObjects Mobile (MobileBIService) version 4.2
- SAP MaxDB (liveCache) versions 7.8 et 7.9
- SAP Commerce Cloud (Testweb Extension) versions 6.6, 6.7, 1808, 1811 et 1905
- SAP NetWeaver AS ABAP Business Server Pages (Smart Forms) - SAP_BASIS versions 7.00, 7.01, 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52,
- .53 et 7.54
- SAP NetWeaver Application Server Java (User Management Engine) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Commerce Cloud (SmartEdit Extension) versions - 6.6, 6.7, 1808 et 1811
- SAP ERP (EAPPGLO) version 607
- SAP Enable Now versions antérieures à 1911
- SAP Fiori Launchpad versions 753 et 754
- SAP Cloud Platform Integration for Data Services version 1.0
- SAP Treasury and Risk Management (Transaction Management) versions EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618, 800, S4CORE 101, 102, 103 et 104
- SAP Enable Now versions antérieures à 1908
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 10 mars 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 - Référence CVE CVE-2020-6207
https://www.cve.org/CVERecord?id=CVE-2020-6207 - Référence CVE CVE-2020-6198
https://www.cve.org/CVERecord?id=CVE-2020-6198 - Référence CVE CVE-2020-6203
https://www.cve.org/CVERecord?id=CVE-2020-6203 - Référence CVE CVE-2020-6208
https://www.cve.org/CVERecord?id=CVE-2020-6208 - Référence CVE CVE-2020-6209
https://www.cve.org/CVERecord?id=CVE-2020-6209 - Référence CVE CVE-2020-6196
https://www.cve.org/CVERecord?id=CVE-2020-6196 - Référence CVE CVE-2018-2450
https://www.cve.org/CVERecord?id=CVE-2018-2450 - Référence CVE CVE-2020-6201
https://www.cve.org/CVERecord?id=CVE-2020-6201 - Référence CVE CVE-2020-6205
https://www.cve.org/CVERecord?id=CVE-2020-6205 - Référence CVE CVE-2020-6202
https://www.cve.org/CVERecord?id=CVE-2020-6202 - Référence CVE CVE-2020-6200
https://www.cve.org/CVERecord?id=CVE-2020-6200 - Référence CVE CVE-2020-6199
https://www.cve.org/CVERecord?id=CVE-2020-6199 - Référence CVE CVE-2020-6178
https://www.cve.org/CVERecord?id=CVE-2020-6178 - Référence CVE CVE-2020-6210
https://www.cve.org/CVERecord?id=CVE-2020-6210 - Référence CVE CVE-2020-6206
https://www.cve.org/CVERecord?id=CVE-2020-6206 - Référence CVE CVE-2020-6204
https://www.cve.org/CVERecord?id=CVE-2020-6204 - Référence CVE CVE-2020-6197
https://www.cve.org/CVERecord?id=CVE-2020-6197