Vulnérabilités dans plusieurs produits SAP
Date de publication :
CVE-2021-27602 [Score CVSS v3 : 9.9]
Une vulnérabilité a été corrigée au sein des règles sources du logiciel SAP Commerce. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire.
CVE-2021-27610 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée au sein du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Cette faille est due à un défaut dans le mécanisme d’authentification du logiciel. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-27635 [Score CVSS v3 : 6.5]
Une vulnérabilité a été corrigée au sein du logiciel SAP NetWeaver AS JAVA. Elle est due à un manque de vérification des objets XML passés en entrée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire.
CVE-2021-27606, CVE-2021-27629, CVE-2021-27630, CVE-2021-27631, CVE-2021-27632 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein de la passerelle RFC du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27597, CVE-2021-27633 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du serveur de file d’attente du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27634 [Score CVSS v3 : 5.9]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du serveur de file d’attente du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
CVE-2021-27607, CVE-2021-27628 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités de corruption de mémoire ont été corrigées au sein du répartiteur de charge (Dispatcher) du logiciel SAP NetWeaver ABAP Server et ABAP Platform. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 9.9 max
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
SAP Commerce versions 1808, 1811, 1905, 2005 et 2011.
SAP NetWeaver AS ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 804.
SAP NetWeaver AS for JAVA version 7.20, 7.30, 7.31, 7.40 et 7.50.
SAP NetWeaver AS for ABAP (RFC Gateway, Enqueue Server & Dispatcher) :
-
KRNL32NUC versions 7.22 et 7.22EXT.
KRNL64NUC versions 7.22, 7.22EXT et 7.49.
KRNL64UC versions 8.04,7.22,7.22EXT,7.49,7.53,7.73.
KERNEL versions 7.22, 8.04, 7.49, 7.53, 7.73, 7.77, 7.81, 7.82, 7.83.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur SAP.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.