Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- SAP Content Server version 7.53
- SAP NetWeaver et ABAP Platform versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP 3D Visual Enterprise Viewer version 9
- SAP Business Client version 6.5
- SAP BusinessObjects Business Intelligence Platform (BI Workspace) version 420
- SAP BusinessObjects Business Intelligence Platform versions 420 et 430
- SAP BusinessObjects Enterprise (Central Management Server) versions 420 et 430
- SAP Commerce versions 905, 2005, 2105 et 2011
- SAP Customer Checkout_SVR version 2.0
- SAP Customer Checkout version 2.0
- SAP Fiori Launchpad versions 54, 755 et 756
- SAP Focused Run (Simple Diagnostics Agent) version 1.0
- SAP HANA Extended Application Services version 1
- SAP Innovation Management version 2
- SAP Manufacturing Integration et Intelligence versions 15.1, 15.2, 15.3 et 15.4
- SAP NetWeaver ABAP Server et ABAP Platform versions 740, 750 et 787
- SAP NetWeaver Application Server ABAP et ABAP Platform versions 700, 710, 711, 730, 731, 740 et 750-756
- SAP NetWeaver Application Server Java versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 et 7.53
- SAP NetWeaver Application Server pour ABAP (Kernel) et ABAP Platform (Kernel) versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT et 7.49
- SAP NetWeaver Application Server pour Java Version 7.50
- SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver (EP Web Page Composer) versions 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver (Internet Communication Manager versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
- SAP NetWeaver (Internet Communication Manager) versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 et 7.86
- SAP Powerdesigner Web Portal version 16.7
- SAPS/4HANA(Supplier Factsheet et Enterprise Search pour Business Partner, Supplier et Customer) versions 104, 105 et 106
- SAP SQL Anywhere Server version 17.0
- SAPUI5 (vbm library) versions 750, 753, 754, 755 et 756
- SAPUI5, versions 750, 753, 754, 755, 756 et 200
- SAP Web Dispatcher versions 7.22, 7.49, 7.53, 7.77, 7.81 et 7.83
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86 et 7.87
- SAP Web Dispatcher versions 7.53, 7.77, 7.81, 7.85 et 7.86
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 12 avril 2022
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10 - Référence CVE CVE-2022-22536
https://www.cve.org/CVERecord?id=CVE-2022-22536 - Référence CVE CVE-2021-21480
https://www.cve.org/CVERecord?id=CVE-2021-21480 - Référence CVE CVE-2022-22965
https://www.cve.org/CVERecord?id=CVE-2022-22965 - Référence CVE CVE-2021-38162
https://www.cve.org/CVERecord?id=CVE-2021-38162 - Référence CVE CVE-2022-27671
https://www.cve.org/CVERecord?id=CVE-2022-27671 - Référence CVE CVE-2022-26101
https://www.cve.org/CVERecord?id=CVE-2022-26101 - Référence CVE CVE-2022-22532
https://www.cve.org/CVERecord?id=CVE-2022-22532 - Référence CVE CVE-2022-22533
https://www.cve.org/CVERecord?id=CVE-2022-22533 - Référence CVE CVE-2022-28214
https://www.cve.org/CVERecord?id=CVE-2022-28214 - Référence CVE CVE-2022-28772
https://www.cve.org/CVERecord?id=CVE-2022-28772 - Référence CVE CVE-2022-23181
https://www.cve.org/CVERecord?id=CVE-2022-23181 - Référence CVE CVE-2022-22541
https://www.cve.org/CVERecord?id=CVE-2022-22541 - Référence CVE CVE-2022-27655
https://www.cve.org/CVERecord?id=CVE-2022-27655 - Référence CVE CVE-2022-26106
https://www.cve.org/CVERecord?id=CVE-2022-26106 - Référence CVE CVE-2022-26107
https://www.cve.org/CVERecord?id=CVE-2022-26107 - Référence CVE CVE-2022-26109
https://www.cve.org/CVERecord?id=CVE-2022-26109 - Référence CVE CVE-2022-27654
https://www.cve.org/CVERecord?id=CVE-2022-27654 - Référence CVE CVE-2022-26108
https://www.cve.org/CVERecord?id=CVE-2022-26108 - Référence CVE CVE-2022-27670
https://www.cve.org/CVERecord?id=CVE-2022-27670 - Référence CVE CVE-2022-28217
https://www.cve.org/CVERecord?id=CVE-2022-28217 - Référence CVE CVE-2022-22542
https://www.cve.org/CVERecord?id=CVE-2022-22542 - Référence CVE CVE-2021-27516
https://www.cve.org/CVERecord?id=CVE-2021-27516 - Référence CVE CVE-2020-26291
https://www.cve.org/CVERecord?id=CVE-2020-26291 - Référence CVE CVE-2021-3647
https://www.cve.org/CVERecord?id=CVE-2021-3647 - Référence CVE CVE-2022-0613
https://www.cve.org/CVERecord?id=CVE-2022-0613 - Référence CVE CVE-2022-26105
https://www.cve.org/CVERecord?id=CVE-2022-26105 - Référence CVE CVE-2022-28770
https://www.cve.org/CVERecord?id=CVE-2022-28770 - Référence CVE CVE-2022-28213
https://www.cve.org/CVERecord?id=CVE-2022-28213 - Référence CVE CVE-2022-27667
https://www.cve.org/CVERecord?id=CVE-2022-27667 - Référence CVE CVE-2022-27669
https://www.cve.org/CVERecord?id=CVE-2022-27669 - Référence CVE CVE-2022-28773
https://www.cve.org/CVERecord?id=CVE-2022-28773 - Référence CVE CVE-2022-22545
https://www.cve.org/CVERecord?id=CVE-2022-22545 - Référence CVE CVE-2022-28215
https://www.cve.org/CVERecord?id=CVE-2022-28215 - Référence CVE CVE-2022-27658
https://www.cve.org/CVERecord?id=CVE-2022-27658 - Référence CVE CVE-2022-28216
https://www.cve.org/CVERecord?id=CVE-2022-28216 - Référence CVE CVE-2021-44832
https://www.cve.org/CVERecord?id=CVE-2021-44832 - Référence CVE CVE-2022-22543
https://www.cve.org/CVERecord?id=CVE-2022-22543 - Référence CVE CVE-2022-27657
https://www.cve.org/CVERecord?id=CVE-2022-27657