Vulnérabilités dans SAP
Date de publication :
De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP, suite de progiciels de gestion intégré. Un attaquant exploitant ces vulnérabilités peut impacter la confidentialité des données utilisateur, contourner des politiques d’authentification, modifier des fichiers arbitraires sur le système de fichier du système, ou encore exécuter du code arbitraire.
CVE-2020-6238 [Score CVSS v3 : 9.3] : Une vulnérabilité causée par un mauvais traitement des entrées XML a été découverte dans SAP Commerce (versions 6.6, 6.7, 1808, 1811 et 1905). Un attaquant distant exploitant cette vulnérabilité peut provoquer un impact non-spécifié de confidentialité et, dans une moindre mesure, de disponibilité (déni de service).
CVE-2019-0330 [Score CVSS v3 : 9.1] : Une vulnérabilité de type injection de commande a été découverte dans SAP Diagnostic Agent version 7.2. Un attaquant distant exploitant cette vulnérabilité peut injecter du code arbitraire qui sera exécuté par le programme.
CVE-2020-6225 [Score CVSS v3 : 9.1] : Une vulnérabilité de type “path traversal” a été découverte dans SAP NetWeaver (versions KMC-CM 7.00 à 7.50 incluse et KMC-WPC 7.30 à 7.50 incluse). Un attaquant distant exploitant cette vulnérabilité peut modifier un fichier arbitraire sur le système de fichiers en injectant des caractères de déplacement (e.g. “..”) dans un nom de fichier.
CVE-2020-6219 [Score CVSS v3 : 9.1] : Une vulnérabilité causée par une non-vérification d’entrées utilisateur a été découverte dans SAP Business Objects Business Intelligence Platform (versions 4.1 et 4.2). Un attaquant distant exploitant cette vulnérabilité et disposant d’autorisations d’accès basiques peut mener le programme à désérialiser des données non-vérifiées, pouvant ainsi mener à un déni de service (plantage de l’application), voire à l’exécution de code arbitraire.
CVE-2020-6230 [Score CVSS v3 : 9.1] : Une vulnérabilité de type injection de code a été découverte dans SAP OrientDB (version 3.0). Un attaquant distant disposant de l’autorisation d’écrire ou exécuter des scripts peut forcer le programme à exécuter du code arbitraire.
CVE-2020-6235 [Score CVSS v3 : 8.6] : Une vulnérabilité liée à une absence d’authentification a été découverte dans SAP Solution Manager (version 7.2). Un attaquant distant exploitant cette vulnérabilité peut ainsi causer un impact non-spécifié.
CVE-2020-6208 [Score CVSS v3 : 8.1] : Une vulnérabilité de type injection de code a été découverte dans SAP Business Objects Business Intelligence Platform (versions 4.1 et 4.2). Un attaquant local disposant d’un niveau basique d’autorisations peut forcer le programme à injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Contournement de politiques d’authentification
Perte de confidentialité des données utilisateur
Modification de fichier arbitraire
Exécution de code arbitraire
Criticité
Score CVSS v3 : 9.3 maximum
Existence d’un code d’exploitation
Aucun code d’exploitation disponible publiquement à ce jour
Composants vulnérables
SAP Commerce: versions 6.6, 6.7, 1808, 1811 et 1905
SAP Diagnostic Agent: version 7.2
SAP NetWeaver: versions KMC-CM 7.00 à 7.50 incluse et KMC-WPC 7.30 à 7.50 incluse
SAP Business Objects Business Intelligence Platform: versions 4.1 et 4.2
SAP OrientDB: version 3.0
SAP Solution Manager: version 7.2
SAP Business Objects Business Intelligence Platform: versions 4.1 et 4.2
CVE
CVE-2020-6238
CVE-2019-0330
CVE-2020-6225
CVE-2020-6219
CVE-2020-6230
CVE-2020-6235
CVE-2020-6208
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour le logiciel concerné vers une version non-vulnérable (voir la section “composants vulnérables)
Solution de contournement
Aucune solution de contournement n’est disponible