11 kwietnia 2023 r. firma SAP wydała swój najnowszy dzień poprawek bezpieczeństwa, który obejmował 21 nowych poprawek bezpieczeństwa i dwie aktualizacje. Wśród poprawek znalazły się łaty usuwające lukę w zabezpieczeniach związaną z przeglądaniem katalogów w SAP NetWeaver AS dla ABAP i ABAP Platform.
Jedną z krytycznych poprawek wydanych 11 kwietnia 2023 r. w dniu poprawki bezpieczeństwa SAP była 3294595, która usuwała lukę w zabezpieczeniach Directory Traversal w SAP NetWeaver AS dla ABAP i platformy ABAP. Ta poprawka uzyskała ocenę priorytetu HotNews przyznaną przez firmę SAP, co wskazuje na jej wysoką wagę. Luka zidentyfikowana za pomocą identyfikatora CVE-2023-27269 uzyskała wynik CVSS 9,6, który został przeniesiony z pierwszego wydania łaty w marcu. Jednak kwietniowa aktualizacja zawierała przerobiony opis rozwiązania, który zapewnił obejście dla tych, którzy nie byli w stanie natychmiast wdrożyć sugerowanego pakietu pomocy.
Kolejną poprawką wydaną w dniu 11 kwietnia 2023 r. w dniu poprawki zabezpieczeń SAP jest SNote 3305369, która usuwa wiele luk w zabezpieczeniach SAP Diagnostics Agent. Ta poprawka ma kluczowe znaczenie dla firm korzystających z krajobrazu systemu SAP Solution Manager, ponieważ agent diagnostyczny jest centralnym komponentem.
Łatka naprawia wiele luk, które mogą prowadzić do zdalnego wykonania kodu (RCE) przez OSCommand Bridge i EventLogServiceCollector.
Firma SAP wydała kolejną poprawkę zabezpieczeń, poprawkę 3298961, dla SAP BusinessObjects Business Intelligence Platform. Ta poprawka usuwa lukę w zabezpieczeniach CVE-2023-28765, która obejmuje ujawnienie informacji w funkcji zarządzania promocjami. Klienci, których dotyczy ta luka, powinni zaktualizować poziom poprawki, aby rozwiązać problem.
Dodatkowo istnieje luka związana z filtrem IP w ABAP Platform i SAP Web Dispatcher. Ze względu na błędną obsługę maski sieci IP luka ta może umożliwić dostęp do aplikacji zaplecza z niepożądanych źródeł. Chociaż udane wykorzystanie tej luki może mieć ograniczony wpływ na poufność aplikacji, nadal wymaga konsultacji.
| Link | Opis | Krytyczność | CVSS |
| 2622660 | Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK Kategoria: Błąd programu | Krytyczna | 10,0 |
| 3269352 | [CVE-2023-29189] Luka w zabezpieczeniach HTTP Verb Tampering w SAP CRM (WebClient UI) Komponenty: CA-WUI-UI Kategoria: Błąd programu | Średnia | 5,4 |
| 3301457 | [CVE-2023-1903] Brak sprawdzania autoryzacji w aplikacji SAP HCM Fiori Moje formularze (Fiori 2.0) Składniki: PA-FIO-FO Kategoria: Błąd programu | Średnia | 4,3 |
| 3275458 | [CVE-2023-27499] Luka w zabezpieczeniach związana z obsługą skryptów międzywitrynowych (XSS) w interfejsie SAP GUI dla HTML Komponenty: BC-FES-WGU Kategoria: Błąd programu | Średnia | 6,1 |
| 3305907 | [CVE-2023-29186] Luka związana z przechodzeniem do katalogu w SAP NetWeaver (BI CONT ADD ON) Komponenty: BW-BCT-GEN Kategoria: Błąd programu | Wysoka | 8,7 |
| 3312733 | [CVE-2023-26458] Luka umożliwiająca ujawnienie informacji w oprogramowaniu SAP Landscape Management Komponenty: BC-VCM-LVM Kategoria: Błąd programu | Średnia | 6,8 |
| 3311624 | [CVE-2023-29187] Luka umożliwiająca przejęcie biblioteki DLL w SapSetup (program instalacyjny oprogramowania) Składniki: BC-FES-INS Kategoria: Błąd programu | Średnia | 6,7 |
| 3117978 | [CVE-2023-29111] Luka umożliwiająca ujawnienie informacji w SAP Application Interface Framework (usługa ODATA) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | Niska | 3,1 |
| 3113349 | [CVE-2023-29110] Luka umożliwiająca wstrzyknięcie kodu w SAP Application Interface Framework (panel wiadomości) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | Niska | 3,7 |
| 3115598 | [CVE-2023-29109] Luka umożliwiająca wstrzyknięcie kodu w SAP Application Interface Framework (panel wiadomości) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | Średnia | 4,4 |
| 3114489 | [CVE-2023-29112] Luka umożliwiająca wstrzyknięcie kodu w SAP Application Interface Framework (monitorowanie komunikatów) Komponenty: BC-SRV-AIF Kategoria: Błąd programu | Niska | 3,7 |
| 3298961 | [CVE-2023-28765] Luka umożliwiająca ujawnienie informacji w rozwiązaniu SAP BusinessObjects Business Intelligence Platform (zarządzanie promocjami) Komponenty: BI-BIP-LCM Kategoria: Błąd programu | Krytyczyna | 9,8 |
| 3309056 | [CVE-2023-27897] Luka umożliwiająca wstrzyknięcie kodu w SAP CRM Komponenty: CRM-BF Kategoria: Błąd programu | Średnia | 6,0 |
| 3316509 | Luka umożliwiająca zdalne wykonanie kodu w SAP Commerce Komponenty: CEC-COM-CPS-COR Kategoria: Błąd programu | Średnia | 4,7 |
| 3289994 | [CVE-2023-28761] Brak sprawdzania uwierzytelnienia w SAP NetWeaver Enterprise Portal Komponenty: EP-PIN-PRT Kategoria: Błąd programu | Średnia | 6,5 |
| 3303060 | [CVE-2023-29185] Odmowa usługi (DOS) w SAP NetWeaver AS dla ABAP (strony serwera biznesowego) Komponenty: BC-BSP Kategoria: Błąd programu | Średnia | 5,3 |
| 3296378 | [CVE-2023-28763] — Odmowa usługi w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-MID-AC Kategoria: Błąd programu | Średnia | 6,5 |
| 3305369 | [CVE-2023-27497] Liczne luki w agencie diagnostyki SAP (OSCommand Bridge i EventLogServiceCollector) Komponenty: SV-SMG-DIA-SRV-AGT Kategoria: Błąd programu | Krytyczna | 10,0 |
| 3287784 | [CVE-2023-24527] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java for Deploy Service Komponenty: BC-JAS-DPL Kategoria: Błąd programu | Średnia | 5,3 |
| 3315312 | [CVE-2023-29108] Luka w filtrze IP w platformie ABAP i SAP Web Dispatcher Komponenty: BC-CST-IC Kategoria: Doradztwo | Średnia | 5,0 |
| 3294595 | [CVE-2023-27269] Luka związana z przechodzeniem do katalogu w SAP NetWeaver AS dla ABAP i platformy ABAP Komponenty: BC-CCM-PRN Kategoria: Błąd programu | Krytcyzna | 9,6 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny