Accueil > Avis de sécurité du CERT-MC et du CERT-FR > CERTFR-2024-AVI-0754_Multiples vulnerabilites dans les produits SAP

CERTFR-2024-AVI-0754_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0754

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur

Système(s) affecté(s)

- Business Warehouse (BEx Analyzer) versions DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757 et SAP_BW 758 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform version 430 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 430 et 440 sans le dernier correctif de sécurité
- Commerce Cloud versions HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
- NetWeaver Application Server pour ABAP (CRM Blueprint Application Builder Panel) versions 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H et 75I sans le dernier correctif de sécurité
- NetWeaver AS pour Java (Destination Service et Logon Application) version 7.50 sans le dernier correctif de sécurité
- NetWeaver BW (BEx Analyzer) versions DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757 et SAP_BW 758 sans le dernier correctif de sécurité
- NetWeaver Enterprise Portal version 7.50 sans le dernier correctif de sécurité
- Production et Revenue Accounting (Tobin interface) versions S4CEXT 106, S4CEXT 107, S4CEXT 108, IS-PRA 605, IS-PRA 606, IS-PRA 616, IS-PRA 617, IS-PRA 618, IS-PRA 800, IS-PRA 801, IS-PRA 802, IS-PRA 803, IS-PRA 804 et IS-PRA 805 sans le dernier correctif de sécurité
- Replication Server versions 16.0.3 et 16.0.4 sans le dernier correctif de sécurité
- S/4 HANA version 900 sans le dernier correctif de sécurité
- S/4HANA eProcurement versions SAP_APPL 606, SAP_APPL 617, SAP_APPL 618, S4CORE 102, S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 et S4CORE 108 sans le dernier correctif de sécurité
- SAP NetWeaver Application Server pour ABAP et ABAP Platform, Versions - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 912 sans le dernier correctif de sécurité
- SAP pour Oil & Gas versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807 et 807 sans le dernier correctif de sécurité
- Student Life Cycle Management (SLcM) versions 617, 618, 800, 802, 803, 804, 805, 806, 807 et 808 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité SAP du 09 septembre 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2024.html
- Référence CVE CVE-2013-3587
https://www.cve.org/CVERecord?id=CVE-2013-3587
- Référence CVE CVE-2022-0778
https://www.cve.org/CVERecord?id=CVE-2022-0778
- Référence CVE CVE-2023-0215
https://www.cve.org/CVERecord?id=CVE-2023-0215
- Référence CVE CVE-2023-0286
https://www.cve.org/CVERecord?id=CVE-2023-0286
- Référence CVE CVE-2024-33003
https://www.cve.org/CVERecord?id=CVE-2024-33003
- Référence CVE CVE-2024-41728
https://www.cve.org/CVERecord?id=CVE-2024-41728
- Référence CVE CVE-2024-41729
https://www.cve.org/CVERecord?id=CVE-2024-41729
- Référence CVE CVE-2024-41730
https://www.cve.org/CVERecord?id=CVE-2024-41730
- Référence CVE CVE-2024-42371
https://www.cve.org/CVERecord?id=CVE-2024-42371
- Référence CVE CVE-2024-42378
https://www.cve.org/CVERecord?id=CVE-2024-42378
- Référence CVE CVE-2024-42380
https://www.cve.org/CVERecord?id=CVE-2024-42380
- Référence CVE CVE-2024-44112
https://www.cve.org/CVERecord?id=CVE-2024-44112
- Référence CVE CVE-2024-44113
https://www.cve.org/CVERecord?id=CVE-2024-44113
- Référence CVE CVE-2024-44114
https://www.cve.org/CVERecord?id=CVE-2024-44114
- Référence CVE CVE-2024-44115
https://www.cve.org/CVERecord?id=CVE-2024-44115
- Référence CVE CVE-2024-44116
https://www.cve.org/CVERecord?id=CVE-2024-44116
- Référence CVE CVE-2024-44117
https://www.cve.org/CVERecord?id=CVE-2024-44117
- Référence CVE CVE-2024-44120
https://www.cve.org/CVERecord?id=CVE-2024-44120
- Référence CVE CVE-2024-44121
https://www.cve.org/CVERecord?id=CVE-2024-44121
- Référence CVE CVE-2024-45279
https://www.cve.org/CVERecord?id=CVE-2024-45279
- Référence CVE CVE-2024-45280
https://www.cve.org/CVERecord?id=CVE-2024-45280
- Référence CVE CVE-2024-45281
https://www.cve.org/CVERecord?id=CVE-2024-45281
- Référence CVE CVE-2024-45283
https://www.cve.org/CVERecord?id=CVE-2024-45283
- Référence CVE CVE-2024-45284
https://www.cve.org/CVERecord?id=CVE-2024-45284
- Référence CVE CVE-2024-45285
https://www.cve.org/CVERecord?id=CVE-2024-45285
- Référence CVE CVE-2024-45286
https://www.cve.org/CVERecord?id=CVE-2024-45286

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0754/

CERTFR-2024-AVI-0874_Multiples vulnerabilites dans Google Android

11 octobre 2024
actualite

Objet : Multiples vulnérabilités dans Google AndroidRéférence : CERTFR-2024-AVI-0874Risque(s) - Déni de service à distance - Exécution de code arbi... Lire la suite[+]

CERTFR-2024-AVI-0873_Multiples vulnerabilites dans les produits IBM

11 octobre 2024
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2024-AVI-0873Risque(s) - Atteinte à la confidentialité des données - Conto... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-AVI-0754_Multiples-vulnerabilites-dans-les-produits-SAP