Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Business Client versions 6.5, 7.0 et 7.70
- BusinessObjects Business Intelligence platform (Analysis edition for OLAP) versions 420 et 430
- BusinessObjects Business Intelligence platform (CMC) versions 420 et 430
- BusinessObjects Business Intelligence (Web Intelligence UI) version 430
- Business Planning and Consolidation versions 200 et 300
- Business Planning and Consolidation versions SAP_BW 750, 751, 752, 753, 754, 755, 756 et 757, DWCORE 200 et 300 et CPMBPC 810
- CRM (WebClient UI) versions 700, 701, 702, 731, 740, 750, 751 et 752, WEBCUIF 748, 800 et 801, S4FND 102 et 103
- Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600
- GRC Process Control application versions GRCFND_A V1200, V8100, GRCPINW V1100_700, V1100_731 et V1200_750
- Host Agent Service versions 7.21 et 7.22
- NetWeaver Application Server for ABAP and ABAP Platform versions 700, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789 et 790
- NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751 et 752
- NetWeaver AS ABAP (BSP Framework) version 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- NetWeaver AS ABAP (BSP Framework) version 700, 701, 702, 731 et 740
- NetWeaver AS ABAP (Business Server Pages application) versions 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G et 75H
- NetWeaver AS for ABAP and ABAP Platform version 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757
- NetWeaver AS for ABAP and ABAP Platform version 740, 750, 751, 752, 753, 754, 755, 756, 757, 789 et 790
- NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756 et 757
- NetWeaver AS for Java (Http Provider Service) version 7.50
- S/4 HANA (Map Treasury Correspondence Format Data) versions 104 et 105
- SAPBASIS versions 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790 et 791
- Solution Manager (BSP Application) version 720
- Solution Manager version 720
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 14 février 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 - Référence CVE CVE-2023-24523
https://www.cve.org/CVERecord?id=CVE-2023-24523 - Référence CVE CVE-2022-41264
https://www.cve.org/CVERecord?id=CVE-2022-41264 - Référence CVE CVE-2023-0020
https://www.cve.org/CVERecord?id=CVE-2023-0020 - Référence CVE CVE-2022-41268
https://www.cve.org/CVERecord?id=CVE-2022-41268 - Référence CVE CVE-2023-24530
https://www.cve.org/CVERecord?id=CVE-2023-24530 - Référence CVE CVE-2023-0024
https://www.cve.org/CVERecord?id=CVE-2023-0024 - Référence CVE CVE-2023-0025
https://www.cve.org/CVERecord?id=CVE-2023-0025 - Référence CVE CVE-2023-23855
https://www.cve.org/CVERecord?id=CVE-2023-23855 - Référence CVE CVE-2023-0019
https://www.cve.org/CVERecord?id=CVE-2023-0019 - Référence CVE CVE-2023-24528
https://www.cve.org/CVERecord?id=CVE-2023-24528 - Référence CVE CVE-2023-24524
https://www.cve.org/CVERecord?id=CVE-2023-24524 - Référence CVE CVE-2023-23852
https://www.cve.org/CVERecord?id=CVE-2023-23852 - Référence CVE CVE-2023-23859
https://www.cve.org/CVERecord?id=CVE-2023-23859 - Référence CVE CVE-2023-23860
https://www.cve.org/CVERecord?id=CVE-2023-23860 - Référence CVE CVE-2023-23853
https://www.cve.org/CVERecord?id=CVE-2023-23853 - Référence CVE CVE-2023-24529
https://www.cve.org/CVERecord?id=CVE-2023-24529 - Référence CVE CVE-2023-23858
https://www.cve.org/CVERecord?id=CVE-2023-23858 - Référence CVE CVE-2022-41262
https://www.cve.org/CVERecord?id=CVE-2022-41262 - Référence CVE CVE-2023-25614
https://www.cve.org/CVERecord?id=CVE-2023-25614 - Référence CVE CVE-2023-24521
https://www.cve.org/CVERecord?id=CVE-2023-24521 - Référence CVE CVE-2023-24522
https://www.cve.org/CVERecord?id=CVE-2023-24522 - Référence CVE CVE-2023-0013
https://www.cve.org/CVERecord?id=CVE-2023-0013 - Référence CVE CVE-2023-23851
https://www.cve.org/CVERecord?id=CVE-2023-23851 - Référence CVE CVE-2023-23856
https://www.cve.org/CVERecord?id=CVE-2023-23856 - Référence CVE CVE-2023-24525
https://www.cve.org/CVERecord?id=CVE-2023-24525 - Référence CVE CVE-2023-23854
https://www.cve.org/CVERecord?id=CVE-2023-23854