Vulnérabilités dans plusieurs logiciels de SAP

Date de publication :

CVE-2021-21446 [Score CVSS v3 : 7.5] : Cette vulnérabilité peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service selon un mode opératoire non-spécifié dans SAP NetWeaver AS ABAP et ABAP Platform.

CVE-2021-21465[Score CVSS v3 : 9.9] : Cette vulnérabilité regroupe plusieurs failles critiques non-spécifiées dans SAP Business Warehouse. Leur exploitation peut se faire à distance et nécessite une authentification préalable.

CVE-2021-21466[Score CVSS v3 : 8.8] : Cette vulnérabilité peut permettre à un attaquant distant et authentifié de provoquer une injection de code arbitraire selon un mode opératoire non-spécifié dans SAP Business Warehouse et SAP BW4HANA. 

CVE-2020-26838[Score CVSS v3 : 9.1] : Cette vulnérabilité peut permettre à un attaquant distant et authentifié (avec un haut niveau de privilèges) de provoquer une injection de code arbitraire selon un mode opératoire non-spécifié dans SAP Business Warehouse et SAP BW4HANA.

CVE-2020-26820 [Score CVSS v3 : 7.2] : Cette vulnérabilité peut permettre à un attaquant distant et authentifié (avec un haut niveau de privilèges) de provoquer une élévation de privilèges selon un mode opératoire non-spécifié SAP NetWeaver Application Server for Java (UDDI Server).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Déni de service
  • Elévation de privilèges

Criticité

  • Score CVSS v3 : 7.5 ; 7.8 ; 8.8 ; 9.1 ; 9.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • SAP Business Warehouse, Versions - 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782 
  • SAP Business Warehouse, Versions - 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 782, SAP BW4HANA, Versions - 100, 200
  • SAP NetWeaver AS JAVA, Versions - 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver AS ABAP, Versions - 740, 750, 751, 752, 753, 754, 755 

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les logiciels SAP concernés conformément aux instructions de l’avis de sécurité en référence de ce bulletin.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens