CERTFR-2025-AVI-0114_Multiples vulnerabilites dans les produits SAP

Multiples vulnérabilités dans les produits SAP

CERTFR-2025-AVI-0114

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Injection de code indirecte à distance (XSS)
• Non spécifié par l'éditeur

• ABAP Platform (ABAP Build Framework) versions SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
• BusinessObjects Business Intelligence platform (Central Management Console) versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
• BusinessObjects Platform (BI Launchpad) versions ENTERPRISE 430 et 2025 sans le dernier correctif de sécurité
• Commerce (Backoffice) versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
• Commerce versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
• Enterprise Project Connection version 3.0 sans le dernier correctif de sécurité
• Fiori Apps Reference Library (My Overtime Requests) version GBX01HR5 605 sans le dernier correctif de sécurité
• Fiori for ERP versions SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
• GUI for Windows version BC-FES-GUI 8.00 sans le dernier correctif de sécurité
• HANA extended application services, advanced model (User Account and Authentication Services) version SAP_EXTENDED_APP_SERVICES 1 sans le dernier correctif de sécurité
• NetWeaver and ABAP Platform (SDCCN) versions ST-PI 2008_1_700, ST-PI 2008_1_710 et ST-PI 740 sans le dernier correctif de sécurité
• NetWeaver and ABAP platform (ST-PI) versions ST-PI 2008_1_700, ST-PI 2008_1_710 et ST-PI 740 sans le dernier correctif de sécurité
• NetWeaver Application Server Java version WD-RUNTIME 7.50 sans le dernier correctif de sécurité
• NetWeaver Application Server Java versions EP-BASIS 7.50 et FRAMEWORK-EXT 7.50 sans le dernier correctif de sécurité
• NetWeaver AS Java (User Admin Application) version 7.50 sans le dernier correctif de sécurité
• NetWeaver AS Java for Deploy Service versions ENGINEAPI 7.50 et SERVERCORE 7.50 sans le dernier correctif de sécurité
• NetWeaver Server ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
• Supplier Relationship Management (Master Data Management Catalog) version SRM_MDM_CAT 7.52 sans le dernier correctif de sécurité

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS).

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité SAP february-2025 du 10 février 2025 : https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2025.html
• Référence CVE CVE-2023-24527 : https://www.cve.org/CVERecord?id=CVE-2023-24527
• Référence CVE CVE-2024-22126 : https://www.cve.org/CVERecord?id=CVE-2024-22126
• Référence CVE CVE-2024-38819 : https://www.cve.org/CVERecord?id=CVE-2024-38819
• Référence CVE CVE-2024-38820 : https://www.cve.org/CVERecord?id=CVE-2024-38820
• Référence CVE CVE-2024-38828 : https://www.cve.org/CVERecord?id=CVE-2024-38828
• Référence CVE CVE-2024-45216 : https://www.cve.org/CVERecord?id=CVE-2024-45216
• Référence CVE CVE-2024-45217 : https://www.cve.org/CVERecord?id=CVE-2024-45217
• Référence CVE CVE-2025-0054 : https://www.cve.org/CVERecord?id=CVE-2025-0054
• Référence CVE CVE-2025-0064 : https://www.cve.org/CVERecord?id=CVE-2025-0064
• Référence CVE CVE-2025-23187 : https://www.cve.org/CVERecord?id=CVE-2025-23187
• Référence CVE CVE-2025-23189 : https://www.cve.org/CVERecord?id=CVE-2025-23189
• Référence CVE CVE-2025-23190 : https://www.cve.org/CVERecord?id=CVE-2025-23190
• Référence CVE CVE-2025-23191 : https://www.cve.org/CVERecord?id=CVE-2025-23191
• Référence CVE CVE-2025-23193 : https://www.cve.org/CVERecord?id=CVE-2025-23193
• Référence CVE CVE-2025-24867 : https://www.cve.org/CVERecord?id=CVE-2025-24867
• Référence CVE CVE-2025-24868 : https://www.cve.org/CVERecord?id=CVE-2025-24868
• Référence CVE CVE-2025-24869 : https://www.cve.org/CVERecord?id=CVE-2025-24869
• Référence CVE CVE-2025-24870 : https://www.cve.org/CVERecord?id=CVE-2025-24870
• Référence CVE CVE-2025-24872 : https://www.cve.org/CVERecord?id=CVE-2025-24872
• Référence CVE CVE-2025-24874 : https://www.cve.org/CVERecord?id=CVE-2025-24874
• Référence CVE CVE-2025-24875 : https://www.cve.org/CVERecord?id=CVE-2025-24875
• Référence CVE CVE-2025-24876 : https://www.cve.org/CVERecord?id=CVE-2025-24876
• Référence CVE CVE-2025-25241 : https://www.cve.org/CVERecord?id=CVE-2025-25241
• Référence CVE CVE-2025-25243 : https://www.cve.org/CVERecord?id=CVE-2025-25243

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0114/