Trovate due nuove vulnerabilità critiche nei prodotti SAP

  News, Rassegna Stampa, Security
image_pdfimage_print

Set 15, 2023 In evidenza, News, Prodotto, RSS, Vulnerabilità 0

In occasione del Security Patch Day di settembre, SAP ha reso pubbliche tredici nuove note di sicurezza e cinque aggiornamenti a note precedenti. Tra le note ne figurano cinque classificare come “Hot News” dalla compagnia, ovvero di livello critico.

Le cinque Hot News comprendono due nuove vulnerabilità entrambe con classificazione CVSS di 9.9 su 10. La prima, la CVE-2023-40622, è un bug di tipo “Information Disclosure” che colpisce la BusinessObjects Business Intelligence Platform (Promotion Management) nelle versioni 420 e 430.

SAP - Credits: weerapat- Depositphotos

Credits: weerapat- Depositphotos

La vulnerabilità consente a un attaccante di accedere a informazioni sensibili che normalmente sono sotto accesso ristretto. Il cybercriminale è in grado di compromettere la confidenzialità, l’integrità e la disponibilità dell’intera applicazione.

Come spiegano i ricercatori di Onapsis, la vulnerabilità risiede nel componente Promotion Management. Come workaround, SAP consiglia di fornire i diritti di accesso solo all’utente designato all’uso del tool.

La seconda vulnerabilità, la CVE-2023-40309, colpisce la libreria CommonCryptoLib per la crittografia. La libreria non esegue i controlli di autenticazione necessari e ciò può portare a un’escalation dei privilegi. In base al livello di privilegi acquisito, un attaccante può essere ni grado di leggere, modificare e cancellare dati normalmente soggetti a restrizioni di accesso; nel caso peggiore, può compromettere il funzionamento di un’intera applicazione.

In questo caso i prodotti affetti dal bug sono NetWeaver AS ABAP, NetWeaver AS Java, la piattaforma ABAP Platform di S/4HANA on -premise, Web Dispatcher, Content Server, HANA Database, Host Agent, SAPSSOEXT e Extended Application Services and Runtime nelle versioni specificate dal vendor.

SAP

Pixabay

SAP ha invitato i propri utenti ad aggiornare il prima possibile i prodotti colpiti con le patch ufficiali.

Delle restanti note, nove sono considerate a rischio medio, con CVSS compreso tra 5.3 e 6.3, e due a rischio basso, con CVSS di 2.7 e 3.5.

Condividi l’articolo

Articoli correlati

Altro in questa categoria

https://www.securityinfo.it/2023/09/15/trovate-due-nuove-vulnerabilita-critiche-nei-prodotti-sap/?utm_source=rss&utm_medium=rss&utm_campaign=trovate-due-nuove-vulnerabilita-critiche-nei-prodotti-sap