Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

SAP corregge 19 bug di sicurezza, 5 dei quali sono con score superiore a 9.0

Redazione RHC : 18 Marzo 2023 15:41

SAP ha recentemente corretto 19 vulnerabilità  nell’ambito delle patch di marzo 2023. Cinque vulnerabilità sono classificate come critiche e sono state anche etichettate come “hot news” dal fornitore.

Le vulnerabilità critiche interessano diverse versioni dei seguenti prodotti:

  • SAP Business Objects Business Intelligence (CMC)
  • SAP NetWeaver AS per Java
  • SAP NetWeaver Application Server per piattaforma ABAP e ABAP
  • SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
  • SAP Business Objects (Adaptive Job Server)

Le vulnerabilità critiche risolte dalla patch e le specifiche delle versioni del prodotto interessate sono descritte di seguito:

  • CVE-2023-25616(punteggio CVSS: 9,9):  una vulnerabilità critica di code injection nella  piattaforma SAP Business Intelligence (versioni 420 e 430)  che consente agli aggressori di accedere alle risorse disponibili solo per gli utenti privilegiati. Un attacco riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.
  • CVE-2023-23857(punteggio CVSS: 9.8)  Un utente malintenzionato non autenticato può sfruttare una vulnerabilità in  SAP NetWeaver AS per Java, versione 7.50, consentendogli di eseguire operazioni non autorizzate sui sistemi. L’attaccante può accedere ai servizi tramite l’API di directory, potenzialmente leggendo e modificando informazioni sensibili e rendendo il sistema non rispondente o non disponibile.
  • CVE-2023-27269(punteggio CVSS: 9,6)  Un problema critico di path traversal in SAP NetWeaver Application Server per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791)  che consente agli utenti non amministratori di sovrascrivere i file di sistema. Durante questo attacco, non è possibile leggere alcun dato, ma l’aggressore può potenzialmente sovrascrivere file critici del sistema operativo. Ciò potrebbe comportare l’indisponibilità del sistema.
  • CVE-2023-27500(punteggio CVSS: 9,6)  Un difetto critico di directory traversal in  SAP NetWeaver AS per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757). Un utente malintenzionato può sfruttare la falla nel programma  SAPRSBRO  per sovrascrivere i file di sistema critici e rendere il sistema non disponibile.
  • CVE-2023-25617(punteggio CVSS: 9.0):  le versioni 420 e 430 di SAP Business Object (Adaptive Job Server)  presentano questa vulnerabilità che consente agli utenti remoti e autenticati con diritti di pianificazione di eseguire comandi arbitrari su sistemi Unix se l’esecuzione di oggetti programma è abilitata. La vulnerabilità può essere sfruttata tramite BI Launchpad, Central Management Console o un’applicazione personalizzata basata sull’SDK Java pubblico. Uno sfruttamento riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.

Si consiglia agli utenti e agli amministratori dei prodotti SAP interessati di eseguire immediatamente l’aggiornamento alle versioni più recenti.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Maggiori informazioni sono disponibili qui: 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia
Di Massimiliano Brolli - 06/08/2025

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...

Ti piacerebbe avere un Robot che fa la lavatrice? Il robot di Figure la fa
Di Redazione RHC - 05/08/2025

Per quanto riguarda i compiti banali che i robot umanoidi potrebbero presto svolgere per noi, le possibilità sono ampie. Fare il bucato è probabilmente in cima alla lista dei desideri di mol...

SonicWall nel mirino: possibile vulnerabilità 0day, utenti a rischio
Di Redazione RHC - 05/08/2025

Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day n...

Cisco colpita da un attacco di Vishing! Esfiltrati i dati profilo degli utenti registrati
Di Redazione RHC - 05/08/2025

Cisco, uno dei principali attori globali nel settore delle infrastrutture di rete e della sicurezza informatica, ha recentemente comunicato di essere stata vittima di un incidente di sicurezza. Fondat...

Bug Critici su NVIDIA Triton consentono agli attaccanti di compromettere e rubare il modello AI
Di Redazione RHC - 05/08/2025

Sono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzio...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006