Vulnérabilités dans les produits SAP

Date de publication :

De multiples vulnérabilités ont été découvertes dans les produits SAP, société spécialisée dans les logiciels de gestion intégrée. Un attaquant distant peut obtenir le contrôle total du système vulnérable, obtenir des informations sensibles ainsi que provoquer d’autres impacts non-spécifiés.

CVE-2020-6287 [Score CVSS v3 : 10.0] : Une vulnérabilité liée à un manquement d’authentification lors de l’exécution de certaines actions a été découverte dans SAP NetWeaver AS JAVA. Un attaquant distant peut modifier des sections critiques de la configuration du logiciel, pouvant aller jusqu’à la prise de contrôle totale du système.

Pas de CVE-ID [Score CVSS v3 : 9.8] : De multiples vulnérabilités affectant le navigateur Chromium intégré à SAP Business Client ont été corrigées via l’application des correctifs nécessaires. Le détail des vulnérabilités concernées ainsi que de leur impact n’est pas disponible.

CVE-2020-6285 [Score CVSS v3 : 7.7] : Une vulnérabilité de type fuite d’informations sensibles a été découverte dans SAP NetWeaver. Un attaquant distant peut obtenir des informations pour lesquelles l’accès est normalement restreint, via un bogue non-spécifié.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Prise de contrôle totale du système (perte de confidentialité, d’intégrité et de disponibilité)

    Fuite d’informations sensibles

    Autres impacts non-renseignés

Criticité

    Score CVSS v3 : 10.0 maximum

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à ce jour. Les détails sur CVE-2020-6287 disponibles publiquement peuvent cependant en permettre facilement la réalisation.

Composants vulnérables

    SAP NetWeaver AS JAVA versions 7.30, 7.31, 7.40 et 7.50

    SAP Business Client version 6.5

    SAP NetWeaver versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50

CVE

    CVE-2020-6285

    CVE-2020-6287

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les mises à jour de sécurité proposées par SAP

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens