AccueilSécuritéPatchday : SAP corrige 16 vulnérabilités

Patchday : SAP corrige 16 vulnérabilités

En mars 2022, SAP a publié 16 bulletins de sécurité pour le Patchday. Ils contiennent des rapports sur deux nouvelles vulnérabilités présentant un risque critique (‘Hot News’ en langage d’entreprise), une à haut risque, huit à risque moyen et une à faible risque pour les utilisateurs du logiciel. En outre, SAP met à jour d’anciens avis de sécurité. Deux d’entre elles concernaient des vulnérabilités critiques, deux autres des vulnérabilités à risque moyen.

Dans Gestionnaire de travail SAP et Gestionnaire d’inventaire la vulnérabilité Log4j permet aux attaquants d’injecter du code malveillant (CVE-2021-44228, CVSS 10.0, critique). La deuxième nouvelle vulnérabilité critique concerne le Agent de diagnostic simple 1.0 de Exécution focalisée SAP (CVE-2022-24396, CVSS 9.3, critique). Celui-ci n’exige pas d’authentification pour les accès de localhost. Les pirates pourraient ainsi lire, modifier ou supprimer des informations ou des configurations sensibles. Dans le site SAP Fiori Launchpad une vulnérabilité de cross-site scripting est également présente, car les données saisies par les utilisateurs ne sont pas suffisamment encodées (CVE-2022-26101, CVSS 8.2, haut).

Sommaire

Les autres vulnérabilités concernent SAP NetWeaver Enterprise Portal, SAP Consolidation financière, Serveur d’applications SAP NetWeaver pour ABAP, SAP Focused Run, Plateforme de Business Intelligence SAP Business Objects, SAPCAR et SAP NetWeaver AS JAVA (Portail de base).

Sur le site officiel de SAP Patchday, les messages de sécurité pour le mois de mars ne sont pas encore disponibles à l’heure où nous écrivons ces lignes, mais SAP met à disposition un fichier PDF contenant des informations sur les vulnérabilités. Les administrateurs doivent planifier rapidement des fenêtres de maintenance pour mettre à jour les logiciels SAP.

Lire aussi

Page thématique sur SAP sur heise online

Plus d'articles