Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • SAP Business Client, Version – 6.5
  • SAP NetWeaver Application Server Java (JMS Connector Service) , Versions - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP Business One, Versions - 10.0
  • SAP S/4HANA, Versions - 1511, 1610, 1709, 1809, 1909, 2020, 2021
  • SAP LT Replication Server, Versions - 2.0, 3.0
  • SAP LTRS for S/4HANA, Version - 1.0
  • SAP Test Data Migration Server, Version - 4.0
  • SAP Landscape Transformation, Version - 2.0
  • SAP NetWeaver (Visual Composer 7.0 RT) , Versions - 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver Knowledge Management XML Forms , Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
  • SAP Contact Center, Version - 700
  • SAP Web Dispatcher , Versions - WEBDISP - 7.49, 7.53, 7.77, 7.81, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, KERNEL - 7.22, 7.49, 7.53, 7.77, 7.81, 7.83
  • SAP CommonCryptoLib , Versions antérieures à 8.5.38
  • SAP Analysis for Microsoft Office , Version - 2.8
  • SAP Business Client , Versions - 7.0, 7.70
  • SAP BusinessObjects Business Intelligence Platform (BI Workspace) , Version - 420
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR) , Versions - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105
  • SAP NetWeaver Enterprise Portal, Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP 3D Visual Enterprise Viewer, Version - 9.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation