Risque(s)
- Non spécifié par l'éditeur
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP 3D Visual Enterprise License Manager version 15
- SAP AS NetWeaver JAVA versions SERVERCORE 7.50, J2EE-FRMW 7.50 et CORE-TOOLS 7.50
- SAP Application Interface Framework (ODATA service) versions 755 et 756
- SAP BusinessObjects Business Intelligence Platform (Central Management Service) versions 420 et 430
- SAP BusinessObjects Business Intelligence Platform versions 420 et 430
- SAP BusinessObjects Intelligence Platform versions 420 et 430
- SAP CRM WebClient UI versions S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, WEBCUIF 701, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800 et WEBCUIF 80
- SAP Commerce (Backoffice) versions 2105 et 2205
- SAP Commerce versions 2211, 2105 et 2205
- SAP GUI pour Windows versions 7.70 et 8.0
- SAP IBP EXCEL ADD-IN versions 2211, 2302 et 2305
- SAP PowerDesigner (Proxy) version 16.7
- SAPUI5 versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 20
- Vendor Master Hierarchy versions SAP_APPL 500, SAP_APPL 600, SAP_APPL 602, SAP_APPL 603, SAP_APPL 604, SAP_APPL 605, SAP_APPL 606, SAP_APPL 616, SAP_APPL 617, SAP_APPL 618 et S4CORE 100
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP 2023-05-10 du 10 mai 2023
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 - Référence CVE CVE-2021-44151
https://www.cve.org/CVERecord?id=CVE-2021-44151 - Référence CVE CVE-2021-44152
https://www.cve.org/CVERecord?id=CVE-2021-44152 - Référence CVE CVE-2021-44153
https://www.cve.org/CVERecord?id=CVE-2021-44153 - Référence CVE CVE-2021-44154
https://www.cve.org/CVERecord?id=CVE-2021-44154 - Référence CVE CVE-2021-44155
https://www.cve.org/CVERecord?id=CVE-2021-44155 - Référence CVE CVE-2023-28762
https://www.cve.org/CVERecord?id=CVE-2023-28762 - Référence CVE CVE-2023-30744
https://www.cve.org/CVERecord?id=CVE-2023-30744 - Référence CVE CVE-2023-29080
https://www.cve.org/CVERecord?id=CVE-2023-29080 - Référence CVE CVE-2022-31596
https://www.cve.org/CVERecord?id=CVE-2022-31596 - Référence CVE CVE-2022-39014
https://www.cve.org/CVERecord?id=CVE-2022-39014 - Référence CVE CVE-2023-32111
https://www.cve.org/CVERecord?id=CVE-2023-32111 - Référence CVE CVE-2022-41966
https://www.cve.org/CVERecord?id=CVE-2022-41966 - Référence CVE CVE-2023-32113
https://www.cve.org/CVERecord?id=CVE-2023-32113 - Référence CVE CVE-2023-30743
https://www.cve.org/CVERecord?id=CVE-2023-30743 - Référence CVE CVE-2022-32244
https://www.cve.org/CVERecord?id=CVE-2022-32244 - Référence CVE CVE-2023-30740
https://www.cve.org/CVERecord?id=CVE-2023-30740 - Référence CVE CVE-2023-30741
https://www.cve.org/CVERecord?id=CVE-2023-30741 - Référence CVE CVE-2023-30742
https://www.cve.org/CVERecord?id=CVE-2023-30742 - Référence CVE CVE-2023-31406
https://www.cve.org/CVERecord?id=CVE-2023-31406 - Référence CVE CVE-2023-31407
https://www.cve.org/CVERecord?id=CVE-2023-31407 - Référence CVE CVE-2023-29188
https://www.cve.org/CVERecord?id=CVE-2023-29188 - Référence CVE CVE-2022-27667
https://www.cve.org/CVERecord?id=CVE-2022-27667 - Référence CVE CVE-2023-31404
https://www.cve.org/CVERecord?id=CVE-2023-31404 - Référence CVE CVE-2023-28764
https://www.cve.org/CVERecord?id=CVE-2023-28764 - Référence CVE CVE-2023-29111
https://www.cve.org/CVERecord?id=CVE-2023-29111 - Référence CVE CVE-2023-32112
https://www.cve.org/CVERecord?id=CVE-2023-32112