Na kwiecień 2024 r. opublikowano 10 nowych uwag dotyczących bezpieczeństwa, a 2 zaktualizowano.
Nota SAP 3434839 opisuje, w jaki sposób silnik zarządzania użytkownikami (UME) systemu Java jest podatny na ataki funkcji „Samodzielna rejestracja” i „Modyfikuj swój własny profil”. Analizując tę lukę, podkreśla znaczenie zasady „bezpieczeństwa od samego początku”.
Notatki SAP 3421384 i 3438234 dotyczą różnych produktów, ale mają wspólną przyczynę występowania luk: niepewna obsługa plików wprowadzanych z interfejsu użytkownika. Z tym wiąże się wiele luk w zabezpieczeniach, które mogą prowadzić na przykład do ataków typu „Path Traversal”.
Wszystkie trzy powyższe luki można złagodzić poprzez załatanie komponentu lub obejście tego problemu. Oczywiście zalecane jest łatanie.
Wszystkie notatki SAP 3442378, 3430173 i 3427178 dotyczą jednej z najbardziej podstawowych przyczyn nieprawidłowego dostępu do danych: braku kontroli autoryzacji! Rzadko kiedy runda aktualizacji przebiega bez poprawek tej kategorii.
Notatka SAP 3442741 opisuje lukę w zabezpieczeniach „Przepełnienie stosu” dla „Komórki integracji brzegowej”. Opcja wdrożenia zapewniająca funkcjonalność pakietu BTP Integration Suite, ale w konfiguracji kontenera Kubernetes. Można go używać jako opcji integracji hybrydowej w środowisku prywatnym/lokalnym. Jednocześnie nota SAP 3421453 dotyczy wielu luk XSS w SAP Business Connector.
| Link | Opis | Krytyczność | CVSS |
| 3434839 | [CVE-2024-27899] Luka w zabezpieczeniach związana z błędną konfiguracją zabezpieczeń w SAP NetWeaver AS Java User Management Engine Komponenty: BC-JAS-SEC-UME Kategoria: Błędy programu | Wysoka | 8.8 |
| 3421384 | [CVE-2024-25646] Luka w zabezpieczeniach SAP BusinessObjects Web Intelligence umożliwiająca ujawnienie informacji Komponenty: BI-RA-WBI Kategoria: Błędy programu | Wysoka | 7.7 |
| 3438234 | [CVE-2024-27901] Luka w zabezpieczeniach Directory Travers w SAP Asset Accounting Komponenty: FI-AA-AA-A Kategoria: Błędy programu | Wysoka | 7.2 |
| 3442741 | Luka w zabezpieczeniach związana z przepełnieniem stosu w obrazach komponentów pakietu SAP Integration Suite (komórka integracji EDGE) Komponenty: LOD-HCI-PI-OP-NM Kategoria: Błędy programu | Średnia | 6.8 |
| 3359778 | [CVE-2024-30218] Luka w zabezpieczeniach typu „odmowa usługi” (DOS) w SAP NetWeaver AS ABAP i platformie ABAP Komponenty: BC-CST-DP Kategoria: Błędy programu | Średnia | 6.5 |
| 3164677 | [CVE-2022-29613] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Employee Self Service (Fiori My Leave Request) Komponenty: PA-FIO-LEA Kategoria: Błędy programu | Średnia | 6.5 |
| 3442378 | [CVE-2024-28167] Brak kontroli autoryzacji w zbiorze danych raportowania grupy SAP (wprowadź dane pakietu) Komponenty: FIN-CS-CDC-DC Kategoria: Błędy programu | Średnia | 6.5 |
| 3156972 | [CVE-2023-40306] Luka w zabezpieczeniach przekierowania adresu URL w SAP S/4HANA (Zarządzaj Komponenty: MM-FIO-PUR-REQ-SSP Kategoria: Błędy programu | Średnia | 6.1 |
| 3425188 | [CVE-2024-27898] Fałszowanie żądań po stronie serwera w SAP NetWeaver Komponenty: BC-ESI-WS-JAV-RT Kategoria: Błędy programu | Średnia | 5.3 |
| 3421453 | [Wiele CVE] Luki w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP Business Connector Komponenty: BC-MID-BUS Kategoria: Błędy programu | Średnia | 4.8 |
| 3430173 | [CVE-2024-30217] Brak kontroli autoryzacji w SAP S/4 HANA (zarządzanie gotówką) Komponenty: FIN-FSCM-CLM-BAM Kategoria: Błędy programu | Średnia | 4.3 |
| 3427178 | [CVE-2024-30216] Brak kontroli autoryzacji w SAP S/4 HANA (zarządzanie gotówką) Komponenty: FIN-FSCM-CLM-BAM Kategoria: Błędy programu | Średnia | 4.3 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny