14 marca 2023 r. firma SAP opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów. Jedną z najbardziej krytycznych luk usuniętych w tym dniu aktualizacji jest luka umożliwiająca wstrzyknięcie kodu CVSS 9.9 w platformie SAP Business Objects Business Intelligence Platform (CMC), o której mowa w nocie SAP 3245526 (wymienionej jako CVE-2023-25616). Inną krytyczną luką w zabezpieczeniach jest niewłaściwie obsługiwana kontrola dostępu w SAP NetWeaver AS Java, która ocenia CVSS na 9,9 i jest usuwana przez wdrożenie SAP Note 3252433 (wymienione jako CVE-2023-23857). Ta luka w zabezpieczeniach implementuje brakującą weryfikację uwierzytelnienia, która umożliwia atakującemu uzyskanie dostępu do katalogu usług API. Ze względu na duże prawdopodobieństwo wykorzystania tej luki zalecamy klientom jak najszybsze załatanie tej luki.
Kolejna luka usunięta w SAP Note 3283438 (wymieniona jako CVE-2023-25617) została oceniona przez CVSS 9.6 z priorytetem Hot News i jest to luka w zabezpieczeniach związana z przeglądaniem katalogów w programie SAPRSBRO, która istnieje w SAP S/4HANA i ma wpływ na wiele wersji SAP od 700 aż do 757.
Pełna lista:
| Link | Opis | Krytyczność | CVSS |
| 3289844 | [CVE-2023-25615] Luka SQL Injection w SAP ABAP Platform Komponenty: BC-DWB-TOO-TDF Kategoria: Błąd programu | Średnia | 6,8 |
| 3245526 | [CVE-2023-25616] Luka umożliwiająca wstrzyknięcie kodu w SAP Business Objects Business Intelligence Platform (CMC) Komponenty: BI-BIP-CMC Kategoria: Błąd programu | Krytyczna | 9,9 |
| 3283438 | [CVE-2023-25617] Luka umożliwiająca wykonanie polecenia systemu operacyjnego w SAP Business Objects Business Intelligence Platform (Adaptive Job Server) Komponenty: BI-BIP-SRV Kategoria: Błąd programu | Krytyczna | 9,0 |
| 3302710 | [CVE-2023-27895] Luka umożliwiająca ujawnienie informacji w aplikacji SAP Authenticator dla systemu Android Komponenty: BC-IAM-SSO-OTP Kategoria: Błąd programu | Średnia | 6,1 |
| 3296328 | [CVE-2023-27270] Odmowa usługi (DoS) w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-MID-ICF Kategoria: Błąd programu | Średnia | 6,5 |
| 3294954 | [CVE-2023-27501] Luka związana z przechodzeniem do katalogu w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-CTS-TMS Kategoria: Błąd programu | Wysoka | 8,7 |
| 3252433 | [CVE-2023-23857] Nieprawidłowa kontrola dostępu w SAP NetWeaver AS for Java Komponenty: BC-CST-EQ Kategoria: Błąd programu | Krytyczna | 9,9 |
| 3294595 | [CVE-2023-27269] Luka związana z przechodzeniem do katalogu w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-CCM-PRN Kategoria: Błąd programu | Krytyczna | 9,6 |
| 3296346 | [CVE-2023-26459] Wiele luk w zabezpieczeniach SAP NetWeaver AS dla platformy ABAP i ABAP Komponenty: BC-MID-ICF Kategoria: Błąd programu | Wysoka | 7,4 |
| 3281484 | [CVE-2023-26457] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w SAP Content Server Komponenty: BC-SRV-KPR-CS Kategoria: Błąd programu | Średnia | 6,1 |
| 3274920 | [CVE-2023-0021] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver Komponenty: BC-CCM-PRN-PC Kategoria: Błąd programu | Średnia | 6,1 |
| 3302162 | [CVE-2023-27500] Luka w zabezpieczeniach Directory Traversal w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-DOC-RIT Kategoria: Błąd programu | Krytyczna | 9,6 |
| 3284550 | [CVE-2023-26461] Luka XML External Entity (XXE) w SAP NetWeaver (SAP Enterprise Portal) Komponenty: EP-PIN-PSL Kategoria: Błąd programu | Średnia | 6,8 |
| 3296476 | [CVE-2023-27893] Wykonanie dowolnego kodu w SAP Solution Manager i systemach zarządzanych ABAP (ST-PI) Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Wysoka | 8,8 |
| 3275727 | [CVE-2023-27498] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAPOSCOL Komponenty: BC-CCM-MON-OS Kategoria: Błąd programu | Wysoka | 7,2 |
| 3287120 | [Wiele CVE] Liczne luki w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6,5 |
| 3288480 | [CVE-2023-27268] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (usługa analizy obiektów) Komponenty: BC-JAS-COR-SES Kategoria: Błąd programu | Średnia | 5,3 |
| 3288096 | [CVE-2023-26460] Nieprawidłowa kontrola dostępu w SAP NetWeaver AS Java (usługa zarządzania pamięcią podręczną) Komponenty: BC-JAS-COR-CSH Kategoria: Błąd programu | Średnia | 5,3 |
| 3288394 | [CVE-2023-24526] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (usługa Classload) Komponenty: BC-JAS-COR Kategoria: Błąd programu | Średnia | 5,3 |
| 3273480 | [CVE-2022-41272] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (wyszukiwanie zdefiniowane przez użytkownika) Komponenty: BC-XI-CON-UDS Kategoria: Błąd programu | Krytyczna | 9,9 |
| 3274585 | [CVE-2023-25614] Luka w zabezpieczeniach dotycząca skryptów międzywitrynowych (XSS) w oprogramowaniu SAP NetWeaver AS ABAP (BSP Framework) Komponenty: BC-BSP Kategoria: Błąd programu | Średnia | 6,1 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny