Objet: Multiples vulnérabilités dans les produits SAP

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• SAP Knowledge Warehouse versions 7.30, 7.31, 7.40 et 7.50
• SAP UI5 Variant Management versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 200
• SAP Plant Connectivity version 15.5
• SAPUI5 versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 200
• SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer) versions 104, 105 et 106
• SAP NetWeaver (Design Time Repository) version 7.50
• SAP NetWeaver Enterprise Portal version 7.50
• SAP CRM ABAP (Grantor Management) version 430
• SAP CRM (WebClient UI) versions S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, WEBCUIF 700, WEBCUIF 701, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800 et WEBCUIF 80
• SAP BusinessObjects Business Intelligence Platform versions 420 et 430
• Master Data Synchronization (MDS COMPARE TOOL) versions SAP_APPL 600, 602, 603, 604, 605, 606 et 616
• SAP NetWeaver (Change and Transport System) versions 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité SAP du 13 juin 2023
  https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
• Référence CVE CVE-2021-42063
  https://www.cve.org/CVERecord?id=CVE-2021-42063
• Référence CVE CVE-2023-33991
  https://www.cve.org/CVERecord?id=CVE-2023-33991
• Référence CVE CVE-2023-2827
  https://www.cve.org/CVERecord?id=CVE-2023-2827
• Référence CVE CVE-2023-30743
  https://www.cve.org/CVERecord?id=CVE-2023-30743
• Référence CVE CVE-2022-22542
  https://www.cve.org/CVERecord?id=CVE-2022-22542
• Référence CVE CVE-2023-33984
  https://www.cve.org/CVERecord?id=CVE-2023-33984
• Référence CVE CVE-2023-33985
  https://www.cve.org/CVERecord?id=CVE-2023-33985
• Référence CVE CVE-2023-33986
  https://www.cve.org/CVERecord?id=CVE-2023-33986
• Référence CVE CVE-2023-30742
  https://www.cve.org/CVERecord?id=CVE-2023-30742
• Référence CVE CVE-2023-31406
  https://www.cve.org/CVERecord?id=CVE-2023-31406
• Référence CVE CVE-2023-32115
  https://www.cve.org/CVERecord?id=CVE-2023-32115
• Référence CVE CVE-2023-32114
  https://www.cve.org/CVERecord?id=CVE-2023-32114