SAP corregge 19 bug di sicurezza, 5 dei quali sono con score superiore a 9.0

Redazione RHC : 18 Marzo 2023 15:41

SAP ha recentemente corretto 19 vulnerabilità  nell’ambito delle patch di marzo 2023. Cinque vulnerabilità sono classificate come critiche e sono state anche etichettate come “hot news” dal fornitore.

Le vulnerabilità critiche interessano diverse versioni dei seguenti prodotti:

• SAP Business Objects Business Intelligence (CMC)
• SAP NetWeaver AS per Java
• SAP NetWeaver Application Server per piattaforma ABAP e ABAP
• SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
• SAP Business Objects (Adaptive Job Server)

Le vulnerabilità critiche risolte dalla patch e le specifiche delle versioni del prodotto interessate sono descritte di seguito:

• CVE-2023-25616 (punteggio CVSS: 9,9):  una vulnerabilità critica di code injection nella  piattaforma SAP Business Intelligence (versioni 420 e 430)  che consente agli aggressori di accedere alle risorse disponibili solo per gli utenti privilegiati. Un attacco riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.
• CVE-2023-23857 (punteggio CVSS: 9.8)  Un utente malintenzionato non autenticato può sfruttare una vulnerabilità in  SAP NetWeaver AS per Java, versione 7.50, consentendogli di eseguire operazioni non autorizzate sui sistemi. L’attaccante può accedere ai servizi tramite l’API di directory, potenzialmente leggendo e modificando informazioni sensibili e rendendo il sistema non rispondente o non disponibile.
• CVE-2023-27269 (punteggio CVSS: 9,6)  Un problema critico di path traversal in SAP NetWeaver Application Server per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791)  che consente agli utenti non amministratori di sovrascrivere i file di sistema. Durante questo attacco, non è possibile leggere alcun dato, ma l’aggressore può potenzialmente sovrascrivere file critici del sistema operativo. Ciò potrebbe comportare l’indisponibilità del sistema.
• CVE-2023-27500 (punteggio CVSS: 9,6)  Un difetto critico di directory traversal in  SAP NetWeaver AS per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757). Un utente malintenzionato può sfruttare la falla nel programma  SAPRSBRO  per sovrascrivere i file di sistema critici e rendere il sistema non disponibile.
• CVE-2023-25617 (punteggio CVSS: 9.0):  le versioni 420 e 430 di SAP Business Object (Adaptive Job Server)  presentano questa vulnerabilità che consente agli utenti remoti e autenticati con diritti di pianificazione di eseguire comandi arbitrari su sistemi Unix se l’esecuzione di oggetti programma è abilitata. La vulnerabilità può essere sfruttata tramite BI Launchpad, Central Management Console o un’applicazione personalizzata basata sull’SDK Java pubblico. Uno sfruttamento riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Si consiglia agli utenti e agli amministratori dei prodotti SAP interessati di eseguire immediatamente l’aggiornamento alle versioni più recenti.

Maggiori informazioni sono disponibili qui: 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli