Le fabricant allemand de logiciels SAP a annoncé la publication de 9 nouvelles notes de sécurité, dont deux concernent des failles importantes dans BusinessObjects et SAPUI5.

En outre, deux notes qui avaient déjà été publiées ont été mises à jour et trois notes de sécurité supplémentaires ont été rendues publiques.

Trois des notes de sécurité de ce mois-ci ont la désignation "hot news", qui, dans les livres de SAP, dénote le niveau de gravité le plus élevé.

La première concerne CVE-2022-41203, qui est une désérialisation non sécurisée de données non fiables dans la plateforme BusinessObjects Business Intelligence (score CVSS de 9,9).

En raison de cette faille, un objet malveillant numérisé pourrait être substitué à un objet légitime dans les paramètres BusinessObjects par un attaquant non authentifié disposant de faibles privilèges.

"La confidentialité, l'intégrité et la disponibilité du système pourraient être sérieusement mises en danger car la procédure de désérialisation n'inclut aucune vérification des données traitées. La seule raison pour laquelle cette vulnérabilité n'est pas étiquetée avec le score CVSS maximum de 10 est qu'elle nécessite que l'attaquant dispose d'un ensemble minimum de privilèges pour l'exploiter", explique la société de sécurité des logiciels d'entreprise Onapsis.

Deux faiblesses de sécurité dans la bibliothèque SQLite présentes dans le framework SAPUI5 sont traitées dans la deuxième note de sécurité diffusée par SAP.

Le premier de ces bogues, CVE-2021-20223 (score CVSS 9,8), existe parce que SQLite traite les caractères nuls comme des jetons. Un attaquant distant avec des privilèges minimaux pourrait exploiter ce problème pour cibler des applications utilisant SAPUI5.

Repéré sous le nom de CVE-2022-35737 (score CVSS de 7,5), le second problème permet un débordement de type array-bound si des milliards d'octets sont utilisés dans un argument de type chaîne à une API C.

Afin de résoudre un problème de détournement de compte dans Commerce, SAP a également mis à jour une note de sécurité publiée en octobre (score CVSS de 9,6).

SAP a également divulgué trois notes de sécurité "hautement prioritaires", dont une traite un problème d'escalade de privilèges dans l'API d'attachement SuccessFactors pour Android et iOS, ainsi que deux nouvelles notes ciblant des vulnérabilités dans NetWeaver et 3D Visual Enterprise.