Le fabricant de logiciels SAP a publié vingt nouvelles notes de sécurité et trois mises à jour pour des notes de sécurité anciennes dans le cadre du Security Patch Day du juillet 2022.

Quatre de ces nouvelles notes de sécurité concernent des vulnérabilités de haute gravité, l'une ayant un impact sur SAP BusinessObjects et les trois autres sur Business One.

La plus sévère de ces problèmes est CVE-2022-35228 (score CVSS : 8,3), une vulnérabilité de divulgation d'informations dans la console de gestion centrale de la plateforme BusinessObjects Business Intelligence. Elle pourrait permettre à un attaquant non authentifié d'obtenir des informations de jeton sur le réseau, mais l'attaque nécessiterait qu'un utilisateur légitime accède à l'application.

La première des failles de haute gravité qui ont un impact sur Business One est une faille de divulgation d'informations (CVE-2022-32249) qui permet à un attaquant hautement privilégié d'accéder à des informations sensibles qui peuvent être utilisées dans des attaques ultérieures, telles que des informations d'identification.

La seconde est une vérification d'autorisation manquante (CVE-2022-28771) qui permet à un attaquant non authentifié de casser une application en utilisant des requêtes HTTP malveillantes envoyées sur le réseau.

Enfin, la troisième faille dans Business One est une vulnérabilité d'injection de code (CVE-2022-31593) qui permet à un attaquant faiblement privilégié de contrôler le comportement de l'application.

Les autres vulnérabilités traitées par SAP ont reçu un score de gravité moyenne, dont la majorité ont un impact sur NetWeaver Enterprise Portal et Business Objects. Parmi ces failles, six sont de type XSS avec un score CVSS de 6.1.

SAP conseille ses clients d’appliquer les correctifs dès que possible afin d’atténuer tout risque possible.