SAP 18 rilascia una nuova nota di sicurezza per il Patch Day a maggio. Due di essi affrontano vulnerabilità classificate come rischi critici. Pertanto, i responsabili IT devono scaricare e installare rapidamente gli aggiornamenti disponibili.
SAP: a volte diverse lacune nei singoli prodotti
SAP classifica cinque vulnerabilità come le più critiche nel componente Republish License Manager di SAP Visual Enterprise License Manager (CVE-2021-44152, CVSS 9.8rischio”molto importanteCVE-2021-44151, CVSS 7.5E alto; CVE-2021-44153, CVSS 7.2E alto; CVE-2021-44154, CVSS 7.2E alto; CVE-2021-44155, CVSS 5.3E mezzo). Nella piattaforma SAP BusinessObjects Business Intelligence, gli aggressori autenticati con privilegi di amministratore possono rubare i token di accesso di qualsiasi utente connesso sulla rete senza alcuna interazione da parte dell’utente. Ciò consente loro di fingere di essere qualsiasi utente della piattaforma e quindi accedere e modificare i dati. Puoi anche rendere il sistema parzialmente o completamente inaccessibile (CVE-2023-28762, CVSS 9.1E molto importante).
La società considera altre sette vulnerabilità ad alto rischio. Tra questi, controllo degli accessi insufficiente all’avvio dell’applicazione in SAP AS Netweaver Java (CVE-2023-30744, CVSS 8.2E alto). Inoltre, gli aggressori possono utilizzare il componente aggiuntivo SAP IBP per Microsoft Excel per aumentare i propri privilegi (CVE-2023-29080, CVSS 8.2E alto).
Altre vulnerabilità ad alto rischio interessano SAP PowerDesigner (agente), SAP Commerce, SAP GUI per Windows, SAP Commerce (back office) e SAPUI5. Sono state rilevate sette vulnerabilità di gravità moderata in SAP BusinessObjects Business Intelligence Platform, SAP CRM (WebClient UI), SAP Business Planning and Consolidation e SAP BusinessObjects Business Intelligence Platform (Central Management Service). Sono state identificate due vulnerabilità con un livello di minaccia basso nella piattaforma SAP BusinessObjects Business Intelligence e nella gerarchia principale dei fornitori.
In sintesi Notifiche Patchday da SAP Gli sviluppatori collegano ulteriori informazioni. Gli amministratori possono anche trovare il software aggiornato lì sulle pagine a cui hanno accesso.
Ad aprile, SAP ha risolto le vulnerabilità di 19 giorni di patch. Di questi, due sono classificati come critici.
(DMK)