CERTFR-2021-AVI-607 : Multiples vulnérabilités dans les produits SAP (10 août 2021)
Risque(s)
- Non spécifié par l'éditeur
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- SAP Business One version 10.0
- SAP NetWeaver Development Infrastructure (Component Build
Service) versions 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50DMIS Mobile Plug-In versions DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752 et 2020 SAP S/4HANA versions SAPSCORE 125, S4CORE 102, 102, 103, 104 et 105 SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver Enterprise Portal (Application Extensions) versions 7.30, 7.31, 7.40 et 7.50 SAP NetWeaver Enterprise Portal versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50 SAP Fiori Client Native Mobile pour Android version 3.2 SAP Business One version 10.0 SAP NetWeaver Development Infrastructure (Notification Service) versions 7.31, 7.40 et 7.50 SAP Cloud Connector version 2.0 SAP Business One version 10.0 SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT) versions 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 et 755 SAP NetWeaver (Knowledge Management) versions 7.30, 7.31, 7.40 et 7.50 SAP BusinessObjects Business Intelligence Platform (Crystal Report) versions 420 et 430 SAP BusinessObjects Business Intelligence Platform (SAPUI5) versions 420 et 430
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SAP du 10 août 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 - Référence CVE CVE-2021-33698
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33698 - Référence CVE CVE-2021-33690
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33690 - Référence CVE CVE-2021-33701
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33701 - Référence CVE CVE-2021-33702
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33702 - Référence CVE CVE-2021-33703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33703 - Référence CVE CVE-2021-33705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33705 - Référence CVE CVE-2021-33699
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33699 - Référence CVE CVE-2021-33700
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33700 - Référence CVE CVE-2021-33691
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33691 - Référence CVE CVE-2021-33695
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33695 - Référence CVE CVE-2021-33694
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33694 - Référence CVE CVE-2021-33693
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33693 - Référence CVE CVE-2021-33692
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33692 - Référence CVE CVE-2021-33704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33704 - Référence CVE CVE-2021-21473
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21473 - Référence CVE CVE-2021-33707
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33707 - Référence CVE CVE-2021-33696
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33696 - Référence CVE CVE-2021-33697
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33697
- Vues : 266