Kritiska sårbarheter i SAP-produkter

SAP varnar om kritiska sårbarheter i bland annat Business Client och Commerce i sin månatliga säkerhetsuppdatering för april månad. Säkerhetsuppdateringen hanterar totalt 19 sårbarheter, varav tre är mycket kritiska. Den mest allvarliga har fått 10/10 på CVSS-skalan och rör en tidigare publicerad sårbarhet i SAP Business Client. [1]

Sårbarheten CVE-2021-27602 har fått CVSS-klassning 9,9 och kan utnyttjas för att fjärrköra kod i SAP Commerce-produkter. En auktoriserad användare kan lansera skadlig kod genom att missbruka skriptfunktioner. En tredje sårbarhet (CVE-2021-21481) har fått CVSS-klassing 9,6 och påverkar SAP NetWeaver AS JAVA. [2]

Påverkade produkter

Sårbarheterna berör följande produkter:

SAP Commerce (versionerna 1808, 1811, 1905, 2005 samt 2011)
SAP Business Client (version 6.5)
SAP NetWeaver AS JAVA (MigrationService) (versionerna 7.10, 7.11, 7.30, 7.31, 7.40 samt 7.50)

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649

[2] https://www.securityweek.com/another-critical-vulnerability-patched-sap-commerce