SAP - CVE-2023-40309
Date de publication :
Un défaut d’authentification dans la librairie CommonCryptoLib du composant BC-IAM-SSO-CCL de SAP permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’élever ses privilèges.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-862: Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve ne concept n’est disponible en sources ouvertes.
Systèmes ou composants affectés
SAP CommonCryptoLib :
• Version 8
HANA Database :
• Version 2.0
SAP Host Agent :
• Version 722
SAP Extended Application Services and Runtime (XSA) :
• version SAP_EXTENDED_APP_SERVICES 1
• version XS_ADVANCED_RUNTIME 1.00
SAPSSOEXT :
• version 17
SAP NetWeaver AS Java :
• Version KERNEL 7.22
• Version KERNEL 7.53
• Version KERNEL 7.54
• Version KERNEL 7.77
• Version KERNEL 7.85
• Version KERNEL 7.89
• Version KERNEL 7.91
• Version KERNEL 7.92
• Version KERNEL 7.93
• Version KERNEL 7.22
• Version KERNEL 8.04
• Version KERNEL64UC 7.22
• Version KERNEL64UC 7.22EXT
• Version KERNEL64UC 7.53
• Version KERNEL64UC 8.04
• Version KERNEL64NUC 7.22
• Version KERNEL64NUC 7.22EXT
ABAP Platform of S/4HANA on-premise :
• Version KERNEL 7.22
• Version KERNEL 7.53
• Version KERNEL 7.54
• Version KERNEL 7.77
• Version KERNEL 7.85
• Version KERNEL 7.89
• Version KERNEL 7.91
• Version KERNEL 7.92
• Version KERNEL 7.93
• Version KERNEL 7.22
• Version KERNEL 8.04
• Version KERNEL64UC 7.22
• Version KERNEL64UC 7.22EXT
• Version KERNEL64UC 7.53
• Version KERNEL64UC 8.04
• Version KERNEL64NUC 7.22
• Version KERNEL64NUC 7.22EXT
SAP NetWeaver AS ABAP :
• Version KERNEL 7.22
• Version KERNEL 7.53
• Version KERNEL 7.54
• Version KERNEL 7.77
• Version KERNEL 7.85
• Version KERNEL 7.89
• Version KERNEL 7.91
• Version KERNEL 7.92
• Version KERNEL 7.93
• Version KERNEL 7.22
• Version KERNEL 8.04
• Version KERNEL64UC 7.22
• Version KERNEL64UC 7.22EXT
• Version KERNEL64UC 7.53
• Version KERNEL64UC 8.04
• Version KERNEL64NUC 7.22
• Version KERNEL64NUC 7.22EXT
SAP Web Dispatcher :
• Version 7.22EXT
• Version 7.53
• Version 7.54
• Version 7.77
• Version 7.85
• Version 7.89
SAP Content Server :
• Version 6.50
• Version 7.53
• Version 7.54
Solutions ou recommandations
Appliquer le correctif du mois de septembre 2023 aux produits vulnérables.
Des informations complémentaires sont disponibles dans le bulletin de SAP.