Les mises à jour de mai 2020 du jour du correctif de sécurité de SAP, que la société a publiées mardi, comprennent un total de 18 notes de sécurité et 4 mises à jour des notes précédentes, dont six ont été classées Hot News.

La plus importante des Notes traite d’une vulnérabilité d’injection de code dans NetWeaver Application Server ABAP. Suivi comme CVE-2020-6262 et présentant un score CVSS de 9,9, le problème existe car un module de fonction activé à distance qui génère dynamiquement du code ne parvient pas à valider suffisamment l’entrée.

Le bogue pourrait permettre à un attaquant de prendre le contrôle d’un système ABAP connecté à un système Solution Manager (SolMan). La faille affecte les versions ABAP 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710 et 740.

«Seul le fait qu’un attaquant a besoin d’un niveau minimum d’autorisations pour exploiter cette vulnérabilité l’a empêché de recevoir un CVSS de 10,0», explique Onapsis, une société spécialisée dans la sécurisation des applications Oracle et SAP.

Deux autres Hot News Notes traitent des vulnérabilités de la plateforme de Business Intelligence Business Objects. Le premier d’entre eux traite d’un contrôle d’authentification manquant (CVE-2020-6242, score CVSS de 9,8), tandis que le second corrige la désérialisation des données non fiables (CVE-2020-6219, score CVSS de 9,1), mais constitue une mise à jour d’une note. libéré en avril.

Ce mois-ci, SAP a publié une autre mise à jour d’une note de sécurité Hot News publiée en avril 2018, qui comprend des correctifs de sécurité pour les contrôles du navigateur Chromium dans Business Client. La nouvelle mise à jour prend en charge la version 81.0.4044.92 de Chromium.

Les deux autres Hot …

Voir la source de cette publication