Le jour de son patch, SAP a publié une liste de 19 nouvelles failles de sécurité et mises à jour associées. Cela est également nécessaire car la liste contient deux vulnérabilités critiques avec des scores CVSS de 9.9 sur 10 et trois autres vulnérabilités critiques avec CVSS 9.6 à 9.0.
Comme presque tous les mois, il vaut la peine de jeter un œil au blog SAP Patch Day. Le mois de mars 2023 montre à nouveau une longue liste de failles de sécurité. Sur les 19 vulnérabilités répertoriées et les mises à jour correspondantes, selon le Common Vulnerability Scoring System - CVSS - 5 sont classées comme "critiques", 4 comme "hautement dangereuses" et 10 autres comme "moyennes graves". Deux des vulnérabilités sont considérées comme particulièrement vulnérables avec une valeur CVSS de 9.9.
5 vulnérabilités critiques dans SAP
- CVE-2023-25616, CVSS 9.9 : Vulnérabilité d'injection de code dans la plateforme SAP Business Objects Business Intelligence (CMC)
- CVE-2023-23857, CVSS 9.9 : Contrôle d'accès non valide dans SAP NetWeaver AS pour Java
- CVE-2023-27269, CVSS 9.6 : Vulnérabilité de traversée de répertoire dans SAP NetWeaver AS pour la plate-forme ABAP et ABAP
- CVE-2023-27500, CVSS 9.6 : Vulnérabilité de traversée de répertoire dans SAP NetWeaver AS pour la plate-forme ABAP et ABAP (programme SAPRSBRO)
- CVE-2023-25617, CVSS 9.0 : Vulnérabilité dans l'exécution des commandes du système d'exploitation dans SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
4 autres fuites de sécurité sont considérées comme très dangereuses et doivent également être mises à jour rapidement : CVE-2023-27893, CVE-2023-27501, CVE-2023-26459 (y compris CVE-2023-25618), CVE-2023-27498. Après tout, leur valeur CVSS se situe entre 8.8 et 7.2. Avec la valeur 5.3 à 6.8, il y a 10 mises à jour supplémentaires dans la liste SAP.
Plus sur SAP.com