CERTFR-2024-AVI-0844_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2024-AVI-0844

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur

Système(s) affecté(s)

- BusinessObjects Business Intelligence Platform (Web Intelligence) versions ENTERPRISE 420, 430, 2025, ENTERPRISECLIENTTOOLS 420, 430 et 2025 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 420, 430 et 440 sans le dernier correctif de sécurité
- Commerce Backoffice versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
- Enterprise Project Connection version 3.0 sans le dernier correctif de sécurité
- HANA Client version HDB_CLIENT 2.0 sans le dernier correctif de sécurité
- NetWeaver AS for Java version 7.50 sans le dernier correctif de sécurité
- NetWeaver BW (BEx Analyzer) versions DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757 et SAP_BW 758 sans le dernier correctif de sécurité
- NetWeaver Enterprise Portal (KMC) version KMC-BC 7.5 sans le dernier correctif de sécurité
- PDCE versions S4CORE 102, 103, S4COREOP 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
- S/4 HANA (Manage Bank Statements) versions S4CORE, 102, 103, 104, 105, 106 et 107 sans le dernier correctif de sécurité
- SAP NetWeaver Application Server pour plateformes ABAP et ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
- Student Life Cycle Management (SLcM) versions IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807 et 808 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité SAP october-2024 du 08 octobre 2024
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2024.html
- Référence CVE CVE-2022-23302
https://www.cve.org/CVERecord?id=CVE-2022-23302
- Référence CVE CVE-2024-22259
https://www.cve.org/CVERecord?id=CVE-2024-22259
- Référence CVE CVE-2024-37179
https://www.cve.org/CVERecord?id=CVE-2024-37179
- Référence CVE CVE-2024-37180
https://www.cve.org/CVERecord?id=CVE-2024-37180
- Référence CVE CVE-2024-38808
https://www.cve.org/CVERecord?id=CVE-2024-38808
- Référence CVE CVE-2024-38809
https://www.cve.org/CVERecord?id=CVE-2024-38809
- Référence CVE CVE-2024-39592
https://www.cve.org/CVERecord?id=CVE-2024-39592
- Référence CVE CVE-2024-41729
https://www.cve.org/CVERecord?id=CVE-2024-41729
- Référence CVE CVE-2024-41730
https://www.cve.org/CVERecord?id=CVE-2024-41730
- Référence CVE CVE-2024-42373
https://www.cve.org/CVERecord?id=CVE-2024-42373
- Référence CVE CVE-2024-45277
https://www.cve.org/CVERecord?id=CVE-2024-45277
- Référence CVE CVE-2024-45278
https://www.cve.org/CVERecord?id=CVE-2024-45278
- Référence CVE CVE-2024-45282
https://www.cve.org/CVERecord?id=CVE-2024-45282
- Référence CVE CVE-2024-45283
https://www.cve.org/CVERecord?id=CVE-2024-45283
- Référence CVE CVE-2024-47594
https://www.cve.org/CVERecord?id=CVE-2024-47594

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0844/