12 września 2023 r. firma SAP opublikowała poradnik bezpieczeństwa (5 gorących wiadomości, ale tylko 2 to nowości) dotyczący luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje krytyczne dla następujących elementów:

Platforma SAP Business Intelligence – wersje 420 i 430

SAP CommonCryptoLib – wiele produktów i wersji

Notatka SNote 3320355 uzyskała wynik CVSS na poziomie 9,9 i dotyczy „luki w zabezpieczeniach umożliwiającej ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (zarządzanie promocjami)”. Ataki wykorzystujące wrażliwe części aplikacji mogą uzyskać dostęp do poufnych informacji. Chociaż wynik wskazuje na wysokie ryzyko, należy pamiętać, że atak może zostać przeprowadzony wyłącznie przez autoryzowane konto. Punktacja jest uzasadniona, ponieważ udana eksploatacja może spowodować poważne szkody i uszkodzenia systemu.

Notatka SNote 3340576 ma wynik CVSS 9,8 i jest opisany jako „kontrola braku autoryzacji w SAP CommonCryptoLib”.

NotatkaOpisKrytycznoććCVSS
2622660Aktualizacje zabezpieczeń kontroli przeglądarki Google Chromium dostarczane z SAP Business Client Komponenty: BC-FES-BUS-DSK
Kategoria: Błąd programu
Krytyczna10.0
3245526[CVE-2023-25616] Luka w zabezpieczeniach typu Code Injection w SAP Business Objects Business Intelligence Platform (CMC)
Komponenty: BI-BIP-CMC
Kategoria: Błąd programu
Krytyczna9.9
3320355[CVE-2023-40622] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (zarządzanie promocjami)
Komponenty: BI-BIP-LCM
Kategoria: Błąd programu
Krytyczna9.9
3273480[CVE-2022-41272] Niewłaściwa kontrola dostępu w SAP NetWeaver AS Java (wyszukiwanie definiowane przez użytkownika)
Komponenty: BC-XI-CON-UDS
Kategoria: Błąd programu
Krytyczna9.9
3340576[CVE-2023-40309] Brak kontroli autoryzacji w SAP CommonCryptoLib
Komponenty: BC-IAM-SSO-CCL
Kategoria: Błąd programu
Krytyczna9.8
3370490[CVE-2023-42472] Niewystarczająca weryfikacja typu pliku w platformie SAP BusinessObjects Business Intelligence (interfejs HTML Web Intelligence)
Komponenty: BI-RA-WBI-FE
Kategoria: Błąd programu
Wysoka8.7
3327896[CVE-2023-40308] Luka w zabezpieczeniach powodująca uszkodzenie pamięci w SAP CommonCryptoLib
Komponenty: BC-IAM-SSO-CCL
Kategoria: Błąd programu
Wysoka7.5
3357163[CVE-2023-40621] Luka w zabezpieczeniach polegająca na wstrzykiwaniu kodu w kliencie SAP PowerDesigner
Komponenty: BC-SYB-PD
Kategoria: Błąd programu
Średnia6.3
3317702[CVE-2023-40623] wersja wydana poprzez udostępnienie pliku katalogów w pakiecie SAP BusinessObjects Suite (instalator)
Komponent: BI-BIP-INS
Kategoria: Błąd programu
Średnia6.2
3349805Luka w zabezpieczeniach typu „odmowa usługi” (DOS) wynikająca z użycia podatnej wersji Commons FileUpload w SAP Quotation Management Insurance (FS-QUO)
Komponenty: FS-QUO
Kategoria: Błąd programu
Średnia5.7
3323163[CVE-2023-40624] Luka Code Injection w SAP NetWeaver AS ABAP (aplikacje oparte na Unified Rendering)
Komponenty: BC-WD-UR
Kategoria: Błąd programu
Średnia5.5
3326361[CVE-2023-40625] Brak kontroli autoryzacji w aplikacji Zarządzaj umowami zakupu
Komponenty: MM-FIO-PUR-SQ-CON
Kategoria: Błąd programu
Średnia5.4
3348142[CVE-2023-41367] Brak kontroli uwierzytelnienia w SAP NetWeaver (procedury z przewodnikiem) Komponenty: BC-GP
Kategoria: Błąd programu
Średnia5.3
3352453[CVE-2023-37489] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w platformie SAP BusinessObjects Business Intelligence (system zarządzania wersjami)
Komponenty: BI-BIP-LCM
Kategoria: Błąd programu
Średnia5.3
3369680[CVE-2023-41369] Luka w zabezpieczeniach pętli podmiotu zewnętrznego w SAP S/4HANA (Utwórz aplikację do pojedynczej płatności)
Komponenty: FI-FIO-AP
Kategoria: Błąd programu
Niska3.5
3355675[CVE-2023-41368] Luka w zabezpieczeniach niebezpiecznego bezpośredniego odniesienia do obiektu (IDOR) w SAP S/4HANA (zarządzanie aplikacjami książeczki czekowej)
Komponenty: FI-FIO-AP-CHK
Kategoria: Błąd programu
Niska2.7