SAP a publié des correctifs destinés à remédier à une série de vulnérabilités de sécurité critiques, y compris des vulnérabilités qui peuvent être exploitées pour l'exécution de code, le déni de service (DoS).

Avant la version 1.4.16, XStream - une bibliothèque Java utilisée pour sérialiser des objets en XML - comporte des vulnérabilités permettant aux attaquants de manipuler les flux pour exposer des données, de surcharger les ressources du CPU, d'effectuer des requêtes de falsification côté serveur (SSRF), et de charger et d'exécuter du code arbitraire, entre autres problèmes.

SAP a également résolu la faille CVE-2021-44231 - score CVSS 9.9 - qui est une faille d'injection de code causée par une erreur dans les fonctions d'extraction de texte de la section Outils de traduction de SAP ABAP Server & ABAP. Si elle est exploitée, cette vulnérabilité permet aux attaquants de détourner l'application.

De plus, le problème de sécurité CVE-2021-38176 a été corrigé, qui est une vulnérabilité liée à la vérification incorrecte des entrées qui a un impact sur une série d'applications SAP, notamment SAP S/4HANA, SAP LTRS for S/4HANA, SAP LT Replication Server, SAP Test Data Migration Server et SAP Landscape Transformation.

"En cas d'exploitation réussie, l'acteur de la menace pourrait compromettre complètement la confidentialité, l'intégrité et la disponibilité du système.", peut-on lire dans la description du bug.

Par ailleurs, SAP a résolu CVE-2021-37714, un problème critique de déni de service dans SAP Commerce (CVSS 7.5), plusieurs vulnérabilités liées à une validation incorrecte des entrées dans SAP 3D Visual Enterprise Viewer (CVE-2021-42068, CVE-2021-42070, CVE-2021-42069, CVE-2021-42069) ; une faille XSS dans le service Web Intelligence de la plateforme SAP BusinessObjects Business Intelligence (CVE-2021-42061), et CVE-2021-44233, un bug d'autorisation de faible gravité dans GRC Access Control.

Nous invitons les utilisateurs des produits SAP de consulté l’avis de sécurité de l’entreprise et d’appliquer les correctifs dès que possible.