A fabricante alemã de software empresarial SAP anunciou na terça-feira o lançamento de 16 novas notas de segurança como parte do Security Patch Day de julho de 2023. Ademais, foram anunciadas atualizações para duas notas lançadas anteriormente.
Com prioridade ‘hot news’ – o mais alto nível de severidade nos livros da SAP – o mais importante dos recém-lançados notas de segurança resolve uma vulnerabilidade de injeção de comando do SO no SAP ECC e S/4HANA (IS-OIL).
Rastreada como CVE-2023-36922 (pontuação CVSS de 9,1), a vulnerabilidade “permite que um invasor autenticado injete um comando arbitrário do sistema operacional em um parâmetro desprotegido de uma transação e programa vulnerável”, empresa de segurança de aplicativos corporativos Onapsis explica.
Um software de planejamento de recursos empresariais, o ECC (ERP Central Component) é o componente principal do SAP Business Suite.
A exploração bem-sucedida do defeito de segurança pode afetar a confidencialidade, integridade e disponibilidade do sistema vulnerável.
Outra nota de segurança ‘hot news’ no conjunto de patches SAP deste mês é uma atualização para uma nota de abril de 2018 que traz a versão mais recente do Chromium para SAP Business Client.
Marcada com uma pontuação CVSS de 10 (de 10), a nota de segurança corrige 56 bugs, incluindo duas falhas de gravidade crítica e 35 falhas de alta gravidade, observa Onapsis.
A SAP lançou sete notas de segurança de alta prioridade esta semana, uma das quais é uma atualização de uma nota lançada em junho de 2023, que trata de um problema de cross-site scripting (XSS) na UI5 (Variant Management).
As outras seis notas de alta prioridade abordam um problema de contrabando de solicitação e concatenação de solicitação e um bug de corrupção de memória no Web Dispatcher, uma vulnerabilidade de negação de serviço (DoS) no SQL Anywhere e uma falha SSRF cega não autenticada e um problema de injeção de cabeçalho em Solution Manager (agente de diagnóstico).
As nove notas de segurança restantes que a SAP lançou esta semana resolvem vulnerabilidades de gravidade média em NetWeaver Process Integration, S/4HANA, Enable Now, NetWeaver AS ABAP e ABAP Platform, BusinessObjects, NetWeaver AS for Java, ERP Defense Forces and Public Security e Business Armazém e BW/4HANA.
Embora não haja menção de nenhuma dessas falhas sendo exploradas na natureza, as organizações são aconselhadas a aplicar os patches disponíveis o mais rápido possível. Vulnerabilidades conhecidas em produtos corporativos representam um alvo atraente para agentes de ameaças.
: