Vulnérabilités dans plusieurs produits SAP

Date de publication :

CVE-2021-27602 [Score CVSS v3 : 9.9] 

Une vulnérabilité dans SAP Commerce a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire dans les dispositifs vulnérables.

CVE-2021-21481 [Score CVSS v3 : 8.8] 

Une vulnérabilité dans SAP Netweaver as Java a été corrigée. Cette faille est due à un manque de vérification des autorisations dans le logiciel. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.

CVE-2021-21482 [Score CVSS v3 : 8.3] 

Une vulnérabilité dans SAP Netweaver Master Data Management a été corrigée. Son exploitation peut permettre à un attaquant ayant accès au réseau local et non-authentifié d’accéder à des informations potentiellement sensibles.

CVE-2021-21483 [Score CVSS v3 : 8.2] 

Une vulnérabilité dans SAP Solution Manager a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’accéder à des informations potentiellement sensibles.

CVE-2020-26832 [Score CVSS v3 : 7.6] 

Une vulnérabilité dans SAP S4 HANA a été corrigée. Cette faille est due à un manque de vérification des autorisations dans le logiciel. Son exploitation peut permettre à un attaquant distant et authentifié d’élever ses privilèges sur les dispositifs vulnérables.

CVE-2021-27608 [Score CVSS v3 : 7.5] 

Une vulnérabilité dans SAP Setup a été corrigée. Cette faille est due à une faiblesse de code concernant un chemin de recherche. Son exploitation peut permettre à un attaquant distant et authentifié d’effectuer des actions non spécifiées.

CVE-2021-21485 [Score CVSS v3 : 7.4] 

Une vulnérabilité dans SAP NetWeaver AS JAVA a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations potentiellement sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire
    Elévation de privilèges
    Exposition d’informations sensibles

Criticité

    Scores CVSS v3 : 9.9 max

Existence d’un code d’exploitation

    Aucun code d'exploitation n’est disponible publiquement à l'heure actuelle.

Composants vulnérables

 

    SAP Business Client, Version - 6.5
    SAP Commerce, Versions - 1808, 1811, 1905, 2005, 2011
    SAP NetWeaver AS JAVA (MigrationService), Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50
    SAP NetWeaver Master Data Management, Versions - 710, 710.750
    SAP Solution Manager, Version - 7.20
    SAP S4 HANA (SAP Landscape Transformation), Versions - 101, 102, 103, 104, 105 
    SAP NetWeaver AS for JAVA (Telnet Commands), Versions - ENGINEAPI - 7.30, 7.31, 7.40, 7.50, ESP_FRAMEWORK - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50, SERVERCORE - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, J2EE-FRMW - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les produits impactés conformément aux instructions de l’éditeur SAP.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens