Il giorno della patch, SAP ha pubblicato un elenco di 19 nuove falle di sicurezza e relativi aggiornamenti. Ciò è necessario anche perché l'elenco contiene due vulnerabilità critiche con punteggi CVSS di 9.9 su 10 e altre tre vulnerabilità critiche con CVSS da 9.6 a 9.0.
Come quasi ogni mese, vale la pena dare un'occhiata al SAP Patch Day Blog. Il mese di marzo 2023 mostra ancora una volta un ampio elenco di lacune di sicurezza. Delle 19 vulnerabilità elencate e dei relativi aggiornamenti, secondo il Common Vulnerability Scoring System - CVSS - 5 sono classificate come "Critiche", 4 come "Altamente pericolose" e altre 10 come "Medio gravi". Due delle vulnerabilità sono considerate particolarmente vulnerabili con un valore CVSS di 9.9.
5 vulnerabilità critiche in SAP
- CVE-2023-25616, CVSS 9.9: Vulnerabilità di code injection nella piattaforma SAP Business Objects Business Intelligence (CMC)
- CVE-2023-23857, CVSS 9.9: Controllo di accesso non valido in SAP NetWeaver AS per Java
- CVE-2023-27269, CVSS 9.6: Vulnerabilità dell'attraversamento di directory in SAP NetWeaver AS per la piattaforma ABAP e ABAP
- CVE-2023-27500, CVSS 9.6: Vulnerabilità di directory traversal in SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
- CVE-2023-25617, CVSS 9.0: Vulnerabilità nell'esecuzione dei comandi del sistema operativo nella piattaforma SAP Business Objects Business Intelligence (Adaptive Job Server)
Altre 4 falle di sicurezza sono considerate altamente pericolose e dovrebbero essere aggiornate rapidamente: CVE-2023-27893, CVE-2023-27501, CVE-2023-26459 (incl. CVE-2023-25618), CVE-2023-27498. Dopotutto, il loro valore CVSS è compreso tra 8.8 e 7.2. Con il valore da 5.3 a 6.8 ci sono altri 10 aggiornamenti nell'elenco SAP.
Altro su SAP.com