Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité des données
Systèmes affectés
- SAP Business Client basé sur Chromium versions antérieures à 7.0 PL19 et 7.70 PL3
- SAP NetWeaver AS ABAP versions 700, 701, 702, 730 et 731 sans le dernier correctif
- SAP Business One, version pour SAP HANA (Cookbooks) versions 0.1.6, 0.1.7 et 0.1.19 sans le dernier correctif
- SAP Business One (Cookbooks) version 0.1.9 sans le dernier correctif
- SAP Commerce (Backoffice Search) versions 1808, 1811, 1905, 2005 et 2011 sans le dernier correctif
- SAP Process Integration (Integration Builder Framework) versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50 sans le dernier correctif
- SAP GUI pour Windows versions 7.60 et 7.70 sans le dernier correctif
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 11 mai 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655 - Référence CVE CVE-2021-27611
https://www.cve.org/CVERecord?id=CVE-2021-27611 - Référence CVE CVE-2021-27616
https://www.cve.org/CVERecord?id=CVE-2021-27616 - Référence CVE CVE-2021-27614
https://www.cve.org/CVERecord?id=CVE-2021-27614 - Référence CVE CVE-2021-27613
https://www.cve.org/CVERecord?id=CVE-2021-27613 - Référence CVE CVE-2021-27619
https://www.cve.org/CVERecord?id=CVE-2021-27619 - Référence CVE CVE-2021-27617
https://www.cve.org/CVERecord?id=CVE-2021-27617 - Référence CVE CVE-2021-27618
https://www.cve.org/CVERecord?id=CVE-2021-27618 - Référence CVE CVE-2021-27612
https://www.cve.org/CVERecord?id=CVE-2021-27612