14 maja 2024 r. firma SAP opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje(notatki) następujących elementów:
• SAP CX Commerce – wersja HY_COM 2205
• Serwer aplikacji SAP NetWeaver ABAP i platforma ABAP – wiele wersji
W tej wersji 2 notatki mają priorytet „HotNews”, który odnosi się do wyniku CVSS wynoszącego 9,0 lub więcej. Notatka SAP 3455438 dotyczy SAP CX Commerce i faktycznie zawiera 2 luki w zabezpieczeniach: CVE-2019-17495 i CVE-2022-36364. Co ciekawe, te CVE są dość stare i patrząc na notatkę, zostały wprowadzone w SAP CX Commerce poprzez wykorzystanie innych bibliotek. W tym przypadku Swagger UI i Apache Calcite Avatica. Rozwiązanie luki odbywa się po prostu poprzez załatanie komponentu HY_COM.
| Notatka | Opis | Krytyczność | CVSS |
| 3455438 | [CVE-2019-17495] Wiele luk w SAP CX Commerce Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Krytyczna | 9.8 |
| 3448171 | [CVE-2024-33006] Luka w zabezpieczeniach przesyłania plików w SAP NetWeaver Application Server ABAP i platformie ABAP Komponenty: BC-SRV-KPR-CMS Kategoria: Błąd programu | Krytyczna | 9.6 |
| 3431794 | [CVE-2024-28165] Luka w zabezpieczeniach typu cross-site scripting w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Wysoka | 8.1 |
| 3448445 | [CVE-2024-34687] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w serwerze aplikacji SAP NetWeaver dla ABAP i platformy ABAP Komponenty: BC-SRV-GBT-GOS Kategoria: Błąd programu | Średnia | 6.5 |
| 3460772 | [CVE-2024-33002] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP S/4HANA (program obsługi dokumentów dla DPS) Komponenty: BC-EIM-ESH Kategoria: Błąd programu | Średnia | 6.1 |
| 3450286 | [CVE-2024-32733] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver Application Server ABAP i platformie ABAP Komponenty: BC-MID-AC Kategoria: Błąd programu | Średnia | 6.1 |
| 3447467 | [CVE-2024-32731] Brak kontroli autoryzacji w SAP My Travel Requests Komponenty: FI-TV-ODT-MTR Kategoria: Błąd programu | Średnia | 5.5 |
| 2745860 | Ujawnianie informacji w repozytorium usług dla przedsiębiorstw w ramach integracji procesów SAP Komponenty: BC-XI-IBD-INF Kategoria: Błąd programu | Średnia | 5.3 |
| 3349468 | [CVE-2024-33008] Luka w zabezpieczeniach powodująca uszkodzenie pamięci w serwerze replikacji SAP Komponenty: BC-SYB-REP Kategoria: Błąd programu | Średnia | 4.9 |
| 3449093 | [CVE-2024-33004] Luka w zabezpieczeniach niebezpiecznego magazynu w SAP BusinessObjects Business Intelligence Platform (usługi internetowe) Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 4.3 |
| 3434666 | [Wiele CVE] Brak kontroli autoryzacji w SAP S/4 HANA (Zarządzanie regułami ponownego przetwarzania wyciągów bankowych) Komponenty: FI-FIO-AR-PAY Kategoria: Błąd programu | Średnia | 4.3 |
| 2174651 | Potencjalne ujawnienie informacji związanych z katalogiem integracji PI Komponenty: BC-XI-IBC Kategoria: Błąd programu | Średnia | 4.3 |
| 1938764 | [CVE-2024-33009] Luka w zabezpieczeniach polegająca na wstrzykiwaniu SQL w SAP Global Label Management (GLM) Komponenty: EHS-SAF-GLM Kategoria: Błąd programu | Średnia | 4.2 |
| 3446076 | [CVE-2024-33007] Luka w zabezpieczeniach umożliwiająca wykonanie skryptu po stronie klienta w SAP UI5 (PDFViewer) Komponenty: CA-UI5-SC Kategoria: Błąd programu | Niska | 3.5 |
| 3392049 | [CVE-2024-33000] Brak kontroli autoryzacji w SAP Bank Account Management Komponenty: FIN-FSCM-CLM-BAM Kategoria: Błąd programu | Niska | 3.5 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny