CERTFR-2025-AVI-0487_Multiples vulnérabilités dans les produits SAP

AVIS CERT

CERT-FR

Publié le 11 juin 2025 à 14h38

Objet

Multiples vulnérabilités dans les produits SAP

Référence

CERTFR-2025-AVI-0487

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Falsification de requêtes côté serveur (SSRF)
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Systèmes affectés

Business Objects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027
Business One Integration Framework versions B1_ON_HANA 10.0 et SAP-M-BO 10.0
Business Warehouse et SAP Plug-In Basis versions PI_BASIS 2006_1_700, 701, 702, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914 et 915
BusinessObjects Business Intelligence (BI Workspace) versions ENTERPRISE 430, 2025 et 2027
GRC (AC Plugin) versions GRCPINW V1100_700 et V1100_731
MDM Server versions 710.750
NetWeaver (ABAP Keyword Documentation) versions SAP_BASIS 758
NetWeaver Application Server for ABAP versions KERNEL 7.89, 7.93, 9.14 et 9.15
NetWeaver Visual Composer versions VCBASE 7.50
S/4HANA (Bank Account Application) versions S4CORE 108
S/4HANA (Enterprise Event Enablement) versions SAP_GWFND 757 et 758
S/4HANA (Manage Central Purchase Contract application) versions S4CORE 106, 107 et 108
S/4HANA (Manage Processing Rules - For Bank Statement) versions S4CORE 104, 105, 106, 107 et 108
SAPUI5 applications versions SAP_UI 750, 754, 755, 756, 757, 758 et UI_700 200

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et une falsification de requêtes côté serveur (SSRF).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0487/