Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Commerce versions 1808, 1811, 1905, 2005 et 2011
- SAP NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 804
- SAP NetWeaver AS for JAVA versions 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS for ABAP (RFC Gateway) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
- SAP NetWeaver ABAP Server et ABAP Platform (Enqueue Server) versions KRNL32NUC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53 et 7.73
- SAP NetWeaver ABAP Server et ABAP Platform (Dispatcher) versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83
- SAP Business One version 10.0
- SAP Manufacturing Execution versions 15.1, 1.5.2, 15.3 et 15.4
- SAP NetWeaver AS ABAP et ABAP Platform (SRM_RFC_SUBMIT_REPORT) versions 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755
- SAP NetWeaver AS for ABAP (Web Survey) versions 700, 702, 710, 711, 730, 731, 750, 750, 752, 75A et 75F
- SAP NetWeaver AS (Internet Graphics Server – Portwatcher) versions 7.20, 7.20EXT, 7.53, 7.20_EX2 et 7.81
- SAP Enable Now (SAP Workforce Performance Builder - Manager) versions 10.0 et 1.0
- SAP NetWeaver AS ABAP versions KRNL32NUC - 7.22, 7.22EXT, KRNL32UC - 7.22, 7.22EXT, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC - 8.04, 7.22, 7.22EXT, 7.49, 7.53, 7.73, KERNEL - 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83 et 7.84
- SAP NetWeaver AS for Java (UserAdmin) versions 7.11,7.20,7.30,7.31,7.40 et 7.50
- SAP NetWeaver Application Server ABAP (Applications based on Web Dynpro ABAP) versions SAP_UI – 750, 752, 753, 754, 755, SAP_BASIS – 702, 31
- SAP NetWeaver Application Server ABAP (Applications based on SAP GUI for HTML) versions KRNL64NUC - 7.49, KRNL64UC - 7.49, 7.53, KERNEL - 7.49, 7.53, 7.77, 7.81 et 7.84
- SAP Commerce Cloud version 100
- SAP 3D Visual Enterprise Viewer version 9
- SAP Fiori Apps 2.0 for Travel Management in SAP ERP version 608
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 08 juin 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 - Référence CVE CVE-2021-27602
https://www.cve.org/CVERecord?id=CVE-2021-27602 - Référence CVE CVE-2021-27610
https://www.cve.org/CVERecord?id=CVE-2021-27610 - Référence CVE CVE-2021-27635
https://www.cve.org/CVERecord?id=CVE-2021-27635 - Référence CVE CVE-2021-27606
https://www.cve.org/CVERecord?id=CVE-2021-27606 - Référence CVE CVE-2021-27629
https://www.cve.org/CVERecord?id=CVE-2021-27629 - Référence CVE CVE-2021-27630
https://www.cve.org/CVERecord?id=CVE-2021-27630 - Référence CVE CVE-2021-27631
https://www.cve.org/CVERecord?id=CVE-2021-27631 - Référence CVE CVE-2021-27632
https://www.cve.org/CVERecord?id=CVE-2021-27632 - Référence CVE CVE-2021-27597
https://www.cve.org/CVERecord?id=CVE-2021-27597 - Référence CVE CVE-2021-27633
https://www.cve.org/CVERecord?id=CVE-2021-27633 - Référence CVE CVE-2021-27634
https://www.cve.org/CVERecord?id=CVE-2021-27634 - Référence CVE CVE-2021-27607
https://www.cve.org/CVERecord?id=CVE-2021-27607 - Référence CVE CVE-2021-27628
https://www.cve.org/CVERecord?id=CVE-2021-27628 - Référence CVE CVE-2021-33662
https://www.cve.org/CVERecord?id=CVE-2021-33662 - Référence CVE CVE-2021-27615
https://www.cve.org/CVERecord?id=CVE-2021-27615 - Référence CVE CVE-2021-21473
https://www.cve.org/CVERecord?id=CVE-2021-21473 - Référence CVE CVE-2021-21490
https://www.cve.org/CVERecord?id=CVE-2021-21490 - Référence CVE CVE-2021-27620
https://www.cve.org/CVERecord?id=CVE-2021-27620 - Référence CVE CVE-2021-27622
https://www.cve.org/CVERecord?id=CVE-2021-27622 - Référence CVE CVE-2021-27623
https://www.cve.org/CVERecord?id=CVE-2021-27623 - Référence CVE CVE-2021-27624
https://www.cve.org/CVERecord?id=CVE-2021-27624 - Référence CVE CVE-2021-27625
https://www.cve.org/CVERecord?id=CVE-2021-27625 - Référence CVE CVE-2021-27626
https://www.cve.org/CVERecord?id=CVE-2021-27626 - Référence CVE CVE-2021-27627
https://www.cve.org/CVERecord?id=CVE-2021-27627 - Référence CVE CVE-2021-27637
https://www.cve.org/CVERecord?id=CVE-2021-27637 - Référence CVE CVE-2021-33663
https://www.cve.org/CVERecord?id=CVE-2021-33663 - Référence CVE CVE-2021-27621
https://www.cve.org/CVERecord?id=CVE-2021-27621 - Référence CVE CVE-2021-33664
https://www.cve.org/CVERecord?id=CVE-2021-33664 - Référence CVE CVE-2021-33665
https://www.cve.org/CVERecord?id=CVE-2021-33665 - Référence CVE CVE-2021-33666
https://www.cve.org/CVERecord?id=CVE-2021-33666 - Référence CVE CVE-2021-27638
https://www.cve.org/CVERecord?id=CVE-2021-27638 - Référence CVE CVE-2021-27639
https://www.cve.org/CVERecord?id=CVE-2021-27639 - Référence CVE CVE-2021-27640
https://www.cve.org/CVERecord?id=CVE-2021-27640 - Référence CVE CVE-2021-33659
https://www.cve.org/CVERecord?id=CVE-2021-33659 - Référence CVE CVE-2021-27642
https://www.cve.org/CVERecord?id=CVE-2021-27642 - Référence CVE CVE-2021-33661
https://www.cve.org/CVERecord?id=CVE-2021-33661 - Référence CVE CVE-2021-27641
https://www.cve.org/CVERecord?id=CVE-2021-27641 - Référence CVE CVE-2021-27643
https://www.cve.org/CVERecord?id=CVE-2021-27643 - Référence CVE CVE-2021-33660
https://www.cve.org/CVERecord?id=CVE-2021-33660 - Référence CVE CVE-2021-27605
https://www.cve.org/CVERecord?id=CVE-2021-27605