S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mai 2025
N° CERTFR-2025-AVI-0396
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2025-AVI-0396
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version13 mai 2025
Date de la dernière version13 mai 2025
Source(s) Bulletin de sécurité SAP may-2025 du 13 mai 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Business Objects Business Intelligence Platform (PMW) versions ENTERPRISE 430, 2025 et 2027
  • Data Services Management Console version SBOP DS JOB SERVER 4.3
  • Digital Manufacturing (Production Operator Dashboard) version CTNR-DME-PODFOUNDATION-MS 1.0
  • Gateway Client versions SAP_GWFND 752, 753, 754, 755, 756, 757 et 758
  • GUI for Windows version BC-FES-GUI 8.00
  • Landscape Transformation (PCL Basis) versions DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107 et 108
  • NetWeaver (Visual Composer development server) version VCFRAMEWORK 7.50
  • NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758
  • PDCE versions S4CORE 102, 103, S4COREOP 104, 105, 106, 107 et 108
  • S/4HANA (Private Cloud & On-Premise) versions S4CRM 204, 205, 206, S4CEXT 107, 108, BBPCRM 702, 712, 713, 714
  • S/4HANA Cloud Private Edition or on Premise (SCM Master Data Layer (MDL)) versions S4CORE 102, 103, 104, 105, 106, 107, 108, SCM_BASIS 700, 701, 702, 712, 713 et 714
  • S/4HANA HCM Portugal and SAP ERP HCM Portugal versions S4HCMCPT 100, 101, SAP_HRCPT 600, 604 et 608
  • S4/HANA (OData meta-data property) versions S4CORE 102, 103, 104, 105 et 106
  • Service Parts Management (SPM) versions SAP_APPL 600, 602, 603, 604, 605, 606, 616, 617, 618, SAPSCORE 111, S4CORE 100, 101 et 102
  • Service Parts Management (SPM) versions SAP_APPL 617, 618, SAPSCORE 116, S4CORE 100, 101, 102 et 103
  • Supplier Relationship Management (Live Auction Cockpit) version SRM_SERVER 7.14
  • Supplier Relationship Management (Master Data Management Catalog) version SRM_MDM_CAT 7.52

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 mai 2025
    Version initiale