Accueil > Avis de sécurité du CERT-MC et du CERT-FR > CERTFR-2025-AVI-0027_Multiples vulnerabilites dans les produits SAP

CERTFR-2025-AVI-0027_Multiples vulnerabilites dans les produits SAP

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2025-AVI-0027

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
- Élévation de privilèges

Système(s) affecté(s)

- Business Workflow et Flexible Workflow versions SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913 et SAP_BASIS 914 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform (Crystal Reports pour Enterprise) version ENTERPRISE 430 sans le dernier correctif de sécurité
- BusinessObjects Business Intelligence Platform versions ENTERPRISE 420, 430 et 2025 sans le dernier correctif de sécurité
- GUI pour Java version BC-FES-JAV 7.80 sans le dernier correctif de sécurité
- GUI pour Windows version BC-FES-GUI 8.0 sans le dernier correctif de sécurité
- NetWeaver Application Server ABAP (applications basé sur GUI pour HTML) versions KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12 et 9.14 sans le dernier correctif de sécurité
- NetWeaver Application Server ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
- NetWeaver Application Server Java version WD-RUNTIME 7.50 sans le dernier correctif de sécurité
- NetWeaver Application Server pour ABAP et ABAP Platform versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13 et 9.14 sans le dernier correctif de sécurité
- NetWeaver Application Server pour ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756 et SAP_BASIS 757 sans le dernier correctif de sécurité
- NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
- NetWeaver AS JAVA (User Admin Application) versions ENGINEAPI 7.50, SERVERCORE 7.50 et UMEADMIN 7.50 sans le dernier correctif de sécurité
- NetWeaver AS pour ABAP et ABAP Platform (Internet Communication Framework) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913 et SAP_BASIS 914 sans le dernier correctif de sécurité
- SAPSetup version LMSAPSETUP 9.0 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité SAP january-2025 du 14 janvier 2025
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html
- Référence CVE CVE-2024-29131
https://www.cve.org/CVERecord?id=CVE-2024-29131
- Référence CVE CVE-2024-29133
https://www.cve.org/CVERecord?id=CVE-2024-29133
- Référence CVE CVE-2025-0053
https://www.cve.org/CVERecord?id=CVE-2025-0053
- Référence CVE CVE-2025-0055
https://www.cve.org/CVERecord?id=CVE-2025-0055
- Référence CVE CVE-2025-0056
https://www.cve.org/CVERecord?id=CVE-2025-0056
- Référence CVE CVE-2025-0057
https://www.cve.org/CVERecord?id=CVE-2025-0057
- Référence CVE CVE-2025-0058
https://www.cve.org/CVERecord?id=CVE-2025-0058
- Référence CVE CVE-2025-0059
https://www.cve.org/CVERecord?id=CVE-2025-0059
- Référence CVE CVE-2025-0060
https://www.cve.org/CVERecord?id=CVE-2025-0060
- Référence CVE CVE-2025-0061
https://www.cve.org/CVERecord?id=CVE-2025-0061
- Référence CVE CVE-2025-0063
https://www.cve.org/CVERecord?id=CVE-2025-0063
- Référence CVE CVE-2025-0066
https://www.cve.org/CVERecord?id=CVE-2025-0066
- Référence CVE CVE-2025-0067
https://www.cve.org/CVERecord?id=CVE-2025-0067
- Référence CVE CVE-2025-0068
https://www.cve.org/CVERecord?id=CVE-2025-0068
- Référence CVE CVE-2025-0069
https://www.cve.org/CVERecord?id=CVE-2025-0069
- Référence CVE CVE-2025-0070
https://www.cve.org/CVERecord?id=CVE-2025-0070

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0027/

CERTFR-2025-AVI-0114_Multiples vulnerabilites dans les produits SAP

11 février 2025
actualite

Objet : Multiples vulnérabilités dans les produits SAPRéférence : CERTFR-2025-AVI-0114Risque(s) - Atteinte à l'intégrité des données - Atteinte à l... Lire la suite[+]

CERTFR-2025-AVI-0113_Multiples vulnerabilites dans les produits Siemens

11 février 2025
actualite

Objet : Multiples vulnérabilités dans les produits SiemensRéférence : CERTFR-2025-AVI-0113Risque(s) - Atteinte à l'intégrité des données - Atteinte... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/CERTFR-2025-AVI-0027_Multiples-vulnerabilites-dans-les-produits-SAP