Alvarlegir veikleikar í SAP hugbúnaði
Tilkynnt var um nokkra alvarlega veikleika í hugbúnaði frá SAP. Alls er um að ræða 16 veikleika samkvæmt tilkynningum frá SAP og greinendum [1,2]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður. CERT-IS mælir með að útfæra mótvægisaðgerðir samkvæmt upplýsingum frá SAP eins fljótt og auðið er.
Alvarlegir veikleikar (e. critical)
SAP PowerDesigner
Veikleikinn CVE-2023-37482 með CVSSv3 skor upp á 9.8 lagfærir galla í meðhöndlun aðgangsheimilda (e. improper access control issue) sem gerir ógnaraðila kleift að keyra fyrirspurnir á móti gagnagrunnsþjóni (e. run arbitrary queries against the backend database) án auðkenningar.
SAP BusinessObjects Business Intelligence Suite
Veikleikinn CVE-2023-37490 með CVSSv3 skor upp á 7.6 gerir ógnaraðila kleift að setja inn eigin kóða (e. binary hijack) sem setur öryggi kerfisins í hættu (e. compromise system integrity and confidentiality).
SAP Business One
Veikleikinn CVE-2023-39437 með CVSSv3 skor upp á 7.6 lagfærir Cross-Site Scripting (e. XSS) veikleika sem gerir ógnaraðila kleift að lesa gögn án heimildar.
Frekari upplýsingar um útgáfur sem eru háðar veikleikunum og útgáfur sem innihalda uppfærslur gegn veikleikunum eru aðgengilegar í gegnum vefsvæði SAP [1].
Tilvísanir:
[1] https://blogs.sap.com/2023/08/08/sap-security-patch-day-august-2023/
[2] https://www.securityweek.com/sap-patches-critical-vulnerability-in-powerdesigner-product/
