Le fabricant de logiciels d’entreprise SAP a publié ses correctifs de sécurité de mai, qui couvrent six problèmes critiques dans plusieurs de ses produits, trois d’entre eux avec un score de gravité très proche du maximum.

Tous ces défauts, sauf un, sont exploitables à distance, ne nécessitent aucune intervention de l’utilisateur et ont une faible complexité d’attaque. Cependant, toutes ne sont pas de nouvelles vulnérabilités; l’un d’eux est une mise à jour d’une note de sécurité d’avril 2018.

Celles-ci sont différentes des problèmes de sécurité que la société a annoncés la semaine dernière, qui ont un impact sur les produits basés sur le cloud et seront corrigés avant la fin du deuxième trimestre de l’année.

Alertes de bogues critiques

La journée de correctifs de sécurité de mai 2020 de SAP comprend près de deux douzaines d’alertes pour divers types de vulnérabilités et la moitié d’entre elles concernent des bogues critiques et de gravité élevée.

Le plus grave d’entre eux est suivi comme CVE-2020-6262 et a un score de gravité de 9,9 sur 10. Il s’agit d’une vulnérabilité d’injection de code dans Service Data Download et affecte plusieurs versions de SAP‌ Application Server ABAP (2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700 , 2008_1_710, 740).

La deuxième faille de sécurité la plus grave de la liste est CVE-2020-6242, avec un indice de gravité de 9,8. Il s’agit d’un manque de vérification d’authentification dans SAP Business Objects Business Intelligence Platform (Live Data Connect), versions 1.0, 2.0, 2.X.

Une mise à jour de sécurité pour le navigateur Chromium livré avec le client SAP‌ Business est également répertoriée comme critique (9.8), basée sur la version 3 du système Common Vulnerability Scoring System (CVSS).

Infos WEB:  Justice Dept: des pirates nord-coréens ont volé de la monnaie virtuelle

Une autre injection de code a été corrigée dans le serveur de sauvegarde de SAP‌ …

Voir la source de cette publication