CERTFR-2024-AVI-1054_Multiples vulnerabilites dans les produits SAP

AVIS CERT

CERT-FR

Publié le 10 décembre 2024 à 14h51 - Mis à jour le 18 février 2025 à 14h38

Objet

Multiples vulnérabilités dans les produits SAP

Référence

CERTFR-2024-AVI-1054

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Système(s) affecté(s)

BusinessObjects Business Intelligence Platform versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
Commerce Cloud versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
HCM version S4HCMGXX 101 sans le dernier correctif de sécurité
NetWeaver Administrator (System Overview) version LM-CORE 7.50 sans le dernier correctif de sécurité
NetWeaver Application Server ABAP versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89 et 7.93 sans le dernier correctif de sécurité
NetWeaver Application Server for ABAP and ABAP Platform versions SAP_BASIS 740, SAP_BASIS 750, KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 et 9.13 sans le dernier correctif de sécurité
NetWeaver AS for JAVA (Adobe Document Services) version ADSSSAP 7.50 sans le dernier correctif de sécurité
NetWeaver AS JAVA version LM-CORE 7.50 sans le dernier correctif de sécurité
Product Lifecycle Costing version PLC_CLIENT 4 sans le dernier correctif de sécurité
Web Dispatcher versions WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12 et 9.13 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité SAP december-2024 du 10 décembre 2024 : https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2024.html
Référence CVE CVE-2024-28166 : https://www.cve.org/CVERecord?id=CVE-2024-28166
Référence CVE CVE-2024-32732 : https://www.cve.org/CVERecord?id=CVE-2024-32732
Référence CVE CVE-2024-41731 : https://www.cve.org/CVERecord?id=CVE-2024-41731
Référence CVE CVE-2024-42375 : https://www.cve.org/CVERecord?id=CVE-2024-42375
Référence CVE CVE-2024-47576 : https://www.cve.org/CVERecord?id=CVE-2024-47576
Référence CVE CVE-2024-47577 : https://www.cve.org/CVERecord?id=CVE-2024-47577
Référence CVE CVE-2024-47578 : https://www.cve.org/CVERecord?id=CVE-2024-47578
Référence CVE CVE-2024-47579 : https://www.cve.org/CVERecord?id=CVE-2024-47579
Référence CVE CVE-2024-47580 : https://www.cve.org/CVERecord?id=CVE-2024-47580
Référence CVE CVE-2024-47581 : https://www.cve.org/CVERecord?id=CVE-2024-47581
Référence CVE CVE-2024-47582 : https://www.cve.org/CVERecord?id=CVE-2024-47582
Référence CVE CVE-2024-47585 : https://www.cve.org/CVERecord?id=CVE-2024-47585
Référence CVE CVE-2024-47586 : https://www.cve.org/CVERecord?id=CVE-2024-47586
Référence CVE CVE-2024-47590 : https://www.cve.org/CVERecord?id=CVE-2024-47590
Référence CVE CVE-2024-54197 : https://www.cve.org/CVERecord?id=CVE-2024-54197
Référence CVE CVE-2024-54198 : https://www.cve.org/CVERecord?id=CVE-2024-54198

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1054/