Mardi, lors de son Security Patch Day d’octobre 2021, SAP a annoncé la publication de 13 nouvelles notes de sécurité et une mise à jour d’une note précédemment publiée. Trois des billets sont notés Nouvelles chaudes.

La plus importante des notes de sécurité de SAP traite de deux vulnérabilités critiques dans SAP Environmental Compliance. Suivis comme CVE-2020-10683 et CVE-2021-23926 (score CVSS de 9,8), les bogues sont des problèmes potentiels d’injection d’entité externe XML (XXE).

Bien que SAP n’ait pas fourni de détails spécifiques sur ces failles de sécurité, les bogues d’injection XML permettent généralement à un attaquant d’interférer avec le traitement des données XML, entraînant la divulgation d’informations ou permettant à l’attaquant d’interagir avec les systèmes backend, selon la société de sécurité des applications SAP Onapsis.

SAP a également traité une autorisation incorrecte critique dans NetWeaver AS ABAP et ABAP Platform (CVE-2021-38178, score CVSS de 9,1). La faille pourrait être exploitée pour contourner les portes de qualité et transférer les artefacts de code ABAP vers les systèmes de qualité et de production.

Un tiers Nouvelles chaudes La note de sécurité publiée cette semaine est une mise à jour du navigateur Chromium dans SAP Business Client.

Une seule des notes de sécurité récemment publiées par SAP a un indice de gravité de haute. Il corrige une vulnérabilité de déni de service (DoS) (CVE-2021-40498, score CVSS de 7,8) dans l’application mobile SuccessFactors pour les appareils Android.

Lors de l’exécution des méthodes Android implémentées, une interaction avec les activités d’autres applications Android qui utilisent ces méthodes est possible, ce qui pourrait conduire à d’éventuelles attaques de phishing, en plus du DoS.

Les 10 notes de sécurité restantes de la nouvelle série de correctifs SAP traitent de problèmes de gravité moyenne, notamment les bogues de divulgation d’informations, de DoS, d’injection de code et de script intersite (XSS).

En plus de ces 14 notes de sécurité, SAP a publié 3 autres notes depuis le Security Patch Day du mois dernier. Tous les trois traitent de gravité moyenne…

Voir la source de cette publication