12 listopada 2024 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa w celu rozwiązania luk w zabezpieczeniach wielu produktów. Zawierały one aktualizację dla następujących elementów:
• SAP Web Dispatcher – wersje WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12 i 9.13
Notatka bezpieczeństwa 3520281 ma najwyższą ocenę CVSS w tym miesiącu (8,8) i opisuje, w jaki sposób podatność na ataki typu Cross-Site Scripting (XSS) może zostać wykorzystana do całkowitego naruszenia bezpieczeństwa systemu bazowego. Co ciekawe, dotyczy to tylko sytuacji, w których użytkownicy logują się do interfejsu użytkownika Web Dispatcher z rolą „admin”. Notatka opisuje różne obejścia, ale oczywiście zdecydowanie zaleca się zastosowanie wydanych poprawek!
Notatka bezpieczeństwa 3508947 opisuje, w jaki sposób korzystanie z interfejsu graficznego SAP dla HTML może prowadzić do dostępu do plików, które powinny być ograniczone. Chociaż sama poprawka dotyczy zaplecza SAP ABAP, luka ta jest istotna tylko wtedy, gdy używane są serwery proxy, takie jak SAP Web Dispatcher (lub inny serwer proxy).
| Link | Opis | Krytyczność | CVSS |
| 3520281 | [CVE-2024-47590] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP Web Dispatcher Komponenty: BC-CST-WDP Kategoria: Błąd programu | Wysoka | 8.8 |
| 3483344 | [CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE Komponenty: FIN-BA Kategoria: Błąd programu | Wysoka | 7.7 |
| 3335394 | [CVE-2024-42372] Brak kontroli autoryzacji w SAP NetWeaver AS Java (System Landscape Directory) Komponenty: BC-CCM-SLD Kategoria: Błąd programu | Średnia | 6.5 |
| 3509619 | [CVE-2024-47595] Lokalna eskalacja uprawnień w agencie hosta SAP Komponenty: BC-CCM-HAG Kategoria: Błąd programu | Średnia | 6.3 |
| 3504390 | [CVE-2024-47586] Luka w zabezpieczeniach związana z dereferencją wskaźnika NULL w SAP NetWeaver Application Server dla ABAP i ABAP Platform Komponenty: BC-ABA-LA Kategoria: Błąd programu | Średnia | 5.3 |
| 3393899 | [CVE-2024-47592] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server Java (aplikacja logowania) Komponenty: BC-JAS-SEC Kategoria: Błąd programu | Średnia | 5.3 |
| 3522953 | [CVE-2024-47588] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Java (Software Update Manager) Komponenty: BC-UPG-TLS-TLJ Kategoria: Błąd programu | Średnia | 4.7 |
| 3508947 | [CVE-2024-47593] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server dla ABAP i ABAP Platform Komponenty: BC-FES-WGU Kategoria: Błąd programu | Średnia | 4.3 |
| 3498470 | [CVE-2024-47587] Brak kontroli autoryzacji w SAP Cash Management (Cash Operations) Komponenty: FIN-FSCM-CLM-COP Kategoria: Błąd programu | Niska | 3.5 |
| 3392049 | [CVE-2024-33000] Brak kontroli autoryzacji w SAP Bank Account Management Komponenty: FIN-FSCM-CLM-BAM Kategoria: Błąd programu | Niska | 3.5 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny