Em seu patch day, a SAP publicou uma lista de 19 novas falhas de segurança e atualizações relacionadas. Isso também é necessário porque a lista contém duas vulnerabilidades críticas com pontuações CVSS de 9.9 em 10 e três outras vulnerabilidades críticas com CVSS 9.6 a 9.0.
Como quase todos os meses, vale a pena dar uma olhada no SAP Patch Day Blog. O mês de março de 2023 mostra novamente uma grande lista de falhas de segurança. Das 19 vulnerabilidades listadas e as atualizações correspondentes, 5 são classificadas como "Críticas", 4 como "Altamente Perigosas" e outras 10 como "Médias Graves" de acordo com o Common Vulnerability Scoring System - CVSS. Duas das vulnerabilidades são consideradas particularmente vulneráveis com um valor CVSS de 9.9.
5 vulnerabilidades críticas no SAP
- CVE-2023-25616, CVSS 9.9: Vulnerabilidade de injeção de código na plataforma SAP Business Objects Business Intelligence (CMC)
- CVE-2023-23857, CVSS 9.9: Controle de acesso inválido no SAP NetWeaver AS for Java
- CVE-2023-27269, CVSS 9.6: Vulnerabilidade de travessia de diretório no SAP NetWeaver AS para plataforma ABAP e ABAP
- CVE-2023-27500, CVSS 9.6: Vulnerabilidade de travessia de diretório no SAP NetWeaver AS para plataforma ABAP e ABAP (programa SAPRSBRO)
- CVE-2023-25617, CVSS 9.0: Vulnerabilidade na execução de comandos do sistema operacional na plataforma SAP Business Objects Business Intelligence (Adaptive Job Server)
Outros 4 vazamentos de segurança são considerados altamente perigosos e também devem ser atualizados rapidamente: CVE-2023-27893, CVE-2023-27501, CVE-2023-26459 (incl. CVE-2023-25618), CVE-2023-27498. Afinal, seu valor CVSS está entre 8.8 e 7.2. Com o valor 5.3 a 6.8 existem mais 10 atualizações na lista SAP.
Mais em SAP.com