SAP - CVE-2024-41730
Date de publication :
Date de mise à jour :
Un défaut d’autorisation dans l’authentification unique de SAP BusinessObjects Business Intelligence Platform permet à un attaquant non authentifié, en envoyant une demande spécifiquement forgée depuis un point de terminaison REST, d’obtenir un jeton de connexion et de manipuler la base de données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-862: Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
SAP BusinessObjects Business Intelligence Platform, Version ENTERPRISE 430 et 440
Solutions ou recommandations
Appliquer le dernier correctif d’août 2024 à SAP BusinessObjects Business Intelligence Platform.
Des informations complémentaires sont disponibles dans le bulletin de SAP.