SAP corregge 19 bug di sicurezza, 5 dei quali sono con score superiore a 9.0

SAP ha recentemente corretto 19 vulnerabilità  nell’ambito delle patch di marzo 2023. Cinque vulnerabilità sono classificate come critiche e sono state anche etichettate come “hot news” dal fornitore.

Le vulnerabilità critiche interessano diverse versioni dei seguenti prodotti:

• SAP Business Objects Business Intelligence (CMC)
• SAP NetWeaver AS per Java
• SAP NetWeaver Application Server per piattaforma ABAP e ABAP
• SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
• SAP Business Objects (Adaptive Job Server)

Le vulnerabilità critiche risolte dalla patch e le specifiche delle versioni del prodotto interessate sono descritte di seguito:

• CVE-2023-25616 (punteggio CVSS: 9,9):  una vulnerabilità critica di code injection nella  piattaforma SAP Business Intelligence (versioni 420 e 430)  che consente agli aggressori di accedere alle risorse disponibili solo per gli utenti privilegiati. Un attacco riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.
• CVE-2023-23857 (punteggio CVSS: 9.8)  Un utente malintenzionato non autenticato può sfruttare una vulnerabilità in  SAP NetWeaver AS per Java, versione 7.50, consentendogli di eseguire operazioni non autorizzate sui sistemi. L’attaccante può accedere ai servizi tramite l’API di directory, potenzialmente leggendo e modificando informazioni sensibili e rendendo il sistema non rispondente o non disponibile.
• CVE-2023-27269 (punteggio CVSS: 9,6)  Un problema critico di path traversal in SAP NetWeaver Application Server per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791)  che consente agli utenti non amministratori di sovrascrivere i file di sistema. Durante questo attacco, non è possibile leggere alcun dato, ma l’aggressore può potenzialmente sovrascrivere file critici del sistema operativo. Ciò potrebbe comportare l’indisponibilità del sistema.
• CVE-2023-27500 (punteggio CVSS: 9,6)  Un difetto critico di directory traversal in  SAP NetWeaver AS per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757). Un utente malintenzionato può sfruttare la falla nel programma  SAPRSBRO  per sovrascrivere i file di sistema critici e rendere il sistema non disponibile.
• CVE-2023-25617 (punteggio CVSS: 9.0):  le versioni 420 e 430 di SAP Business Object (Adaptive Job Server)  presentano questa vulnerabilità che consente agli utenti remoti e autenticati con diritti di pianificazione di eseguire comandi arbitrari su sistemi Unix se l’esecuzione di oggetti programma è abilitata. La vulnerabilità può essere sfruttata tramite BI Launchpad, Central Management Console o un’applicazione personalizzata basata sull’SDK Java pubblico. Uno sfruttamento riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si consiglia agli utenti e agli amministratori dei prodotti SAP interessati di eseguire immediatamente l’aggiornamento alle versioni più recenti.

Maggiori informazioni sono disponibili qui: 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.