Accueil > Avis de sécurité du CERT-MC et du CERT-FR > CERTFR-2024-AVI-0283_Multiples vulnerabilites dans les produits SAP

CERTFR-2024-AVI-0283_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0283

Risque(s)

- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
- Non spécifié par l'éditeur

Systèmes affectés

- Asset Accounting versions SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 et SAP_FIN700 sans le dernier correctif de sécurité
- Business Connector version 4.8 sans le dernier correctif de sécurité
- BusinessObjects Web Intelligence versions 4.2 et 4.3 sans le dernier correctif de sécurité
- Group Reporting Data Collection (Enter Package Data) versions S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 et SAP_GRDC_CLOUD 1.0.0 sans le dernier correctif de sécurité
- NetWeaver AS ABAP and ABAP Platform versions KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54 et KERNEL 7.93 sans le dernier correctif de sécurité
- NetWeaver AS Java User Management Engine versions SERVERCORE 7.50, J2EE-APPS 7.50 et UMEADMIN 7.50 sans le dernier correctif de sécurité
- NetWeaver version 7.50 sans le dernier correctif de sécurité
- S/4 HANA (Cash Management) versions S4CORE 106, S4CORE 107 et S4CORE 108 sans le dernier correctif de sécurité
- S/4 HANA (Manage Catalog Items and Cross-Catalog search) versions S4CORE 103, S4CORE 104, S4CORE 105 et S4CORE 106 sans le dernier correctif de sécurité
- Edge Integration Cell versions antérieures à 8.13.5

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 09 avril 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html
- Référence CVE CVE-2024-25646
https://www.cve.org/CVERecord?id=CVE-2024-25646
- Référence CVE CVE-2024-27898
https://www.cve.org/CVERecord?id=CVE-2024-27898
- Référence CVE CVE-2024-27899
https://www.cve.org/CVERecord?id=CVE-2024-27899
- Référence CVE CVE-2024-27901
https://www.cve.org/CVERecord?id=CVE-2024-27901
- Référence CVE CVE-2024-28167
https://www.cve.org/CVERecord?id=CVE-2024-28167
- Référence CVE CVE-2024-30214
https://www.cve.org/CVERecord?id=CVE-2024-30214
- Référence CVE CVE-2024-30215
https://www.cve.org/CVERecord?id=CVE-2024-30215
- Référence CVE CVE-2024-30216
https://www.cve.org/CVERecord?id=CVE-2024-30216
- Référence CVE CVE-2024-30217
https://www.cve.org/CVERecord?id=CVE-2024-30217
- Référence CVE CVE-2024-30218
https://www.cve.org/CVERecord?id=CVE-2024-30218

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0283/

CERTFR-2024-AVI-0623_Multiples vulnerabilites Microsoft GroupMe

24 juillet 2024
actualite

Objet : Multiples vulnérabilités Microsoft GroupMeRéférence : CERTFR-2024-AVI-0623Risque(s)- Élévation de privilègesSystème(s) affecté(s)- GroupMe... Lire la suite[+]

CERTFR-2024-AVI-0622_Multiples vulnerabilites dans Google Chrome

24 juillet 2024
actualite

Objet : Multiples vulnérabilités dans Google ChromeRéférence : CERTFR-2024-AVI-0622Risque(s)- Non spécifié par l'éditeurSystème(s) affecté(s) - Chr... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-AVI-0283_Multiples-vulnerabilites-dans-les-produits-SAP