Vulnérabilités dans plusieurs produits SAP
Date de publication :
CVE-2021-27602 [Score CVSS v3 : 9.9]
Une vulnérabilité a été corrigée au sein des règles sources du logiciel SAP Commerce. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire.
CVE-2021-27610 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée au sein du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Cette faille est due à un défaut dans le mécanisme d’authentification du logiciel. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-27635 [Score CVSS v3 : 6.5]
Une vulnérabilité a été corrigée au sein du logiciel SAP NetWeaver AS JAVA. Elle est due à un manque de vérification des objets XML passés en entrée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire.
CVE-2021-27606, CVE-2021-27629, CVE-2021-27630, CVE-2021-27631, CVE-2021-27632 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein de la passerelle RFC du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27597, CVE-2021-27633 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du serveur de file d’attente du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27634 [Score CVSS v3 : 5.9]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du serveur de file d’attente du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27607, CVE-2021-27628 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du répartiteur de charge (Dispatcher) du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.9 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- SAP Commerce versions 1808, 1811, 1905, 2005 et 2011.
- SAP NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 804.
- SAP NetWeaver AS for JAVA version 7.20, 7.30, 7.31, 7.40 et 7.50.
- SAP NetWeaver AS for ABAP (RFC Gateway, Enqueue Server & Dispatcher) :
- KRNL32NUC versions 7.22 et 7.22EXT.
- KRNL64NUC versions 7.22, 7.22EXT et 7.49.
- KRNL64UC versions 8.04,7.22,7.22EXT,7.49,7.53,7.73.
- KERNEL versions 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur SAP.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.