Kritiska sårbarheter påverkar SAP-produkter

Sårbarhet SAP Patchtisdag

SAP varnar om flertalet sårbarheter i sina säkerhetsuppdateringar för maj månad. Totalt lagas 17 nya och existerande sårbarheter, varav en fått högsta CVSS-klassning (10 av 10) och ytterligare två anses kritiska. [1]

Den mest kritiska sårbarheten påverkar SAP Business Client och kan utnyttjas av en angripare för att ta kontroll över sårbara system. Det är en återkommande uppdatering med en ny patch som lagar sårbarheter i Google Chromium. Patchen innehåller den senaste testade versionen av Chromium (127.0.6480.0).

De övriga kritiska sårbarheterna påverkar produkterna CX Commerce och NetWeaver.

Sårbarheten i CX Commerce (CVE-2019-17495) har fått CVSS-klassning 9,8 av 10 och återfinns i komponenten Swagger UI, som är sårbar för CSS-injektioner. Om den utnyttjas kan en angripare skriva över information i systemet, vilket kan påverka riktigheten och tillgängligheten i applikationen. Sårbarheten i NetWeaver (CVE-2024-33006) har fått CVSS-klassning 9,6 och medför att en angripare kan ladda upp skadliga filer till servern, vilket kan göra att systemet kan tas över helt och hållet.

Påverkade produkter

Den mest kritiska sårbarheten påverkar SAP Business Client (versionerna 6.5, 7.0 och 7.70)

För en fullständig lista av alla produkter som lagas, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html