Le fabricant de logiciels allemand SAP a publié 10 avis pour documenter les failles et les correctifs pour une gamme de failles de sécurité graves.

SAP a également publié un total de 7 autres mises à jour pour les notes de sécurité publiées précédemment le jour du patch de ce mois, pour un total de 17 notes. Cinq d’entre eux portent la cote de gravité la plus élevée de Hot News.

Traitant de multiples vulnérabilités dans SAP Business Warehouse, le plus important de ces problèmes porte un score CVSS de 9,9.

La première des notes portait sur CVE-2021-21465, que SAP décrit comme plusieurs problèmes dans Business Warehouse (interface de base de données). Ces bogues sont une injection SQL et un contrôle d’autorisation manquant (qui présente un score CVSS de 6,5), explique Onapsis, une entreprise qui sécurise les applications Oracle et SAP.

[ ALSO SEE: Microsoft Patch Tuesday: 83 Vulnerabilities, 10 Critical ]

«Une désinfection incorrecte des commandes SQL fournies a permis à un attaquant d’exécuter des commandes SQL arbitraires sur la base de données, ce qui pourrait conduire à une compromission complète du système affecté», note Onapsis dans un blog partagé avec SecurityWeek. Des privilèges minimums sont requis pour une exploitation réussie.

La vérification d’autorisation manquante pourrait être exploitée pour lire n’importe quelle table de base de données. Comme SAP a décidé de corriger le bogue en désactivant le module de fonction, l’application du correctif entraînera un vidage de toutes les applications qui appellent ce module de fonction.

Le deuxième problème sérieux concerne CVE-2021-21466, une faille d’injection de code dans Business Warehouse et BW / 4HANA.

Causée par une validation d’entrée insuffisante, la faille pourrait être utilisée abusivement pour injecter du code malveillant qui est stocké de manière persistante sous forme de rapport et qui pourrait être exécuté par la suite, affectant potentiellement la confidentialité, l’intégrité et la disponibilité des systèmes. L’attaquant a besoin de privilèges faibles pour l’exploitation.

Les trois autres sont des mises à jour de correctifs précédemment publiés en avril 2018 (mises à jour …

Voir la source de cette publication