A fabricante alemã de software empresarial SAP anunciou na terça-feira o lançamento de 16 novas notas de segurança como parte do Security Patch Day de julho de 2023. Além disso, foram anunciadas atualizações para duas notas lançadas anteriormente.
Com prioridade ‘hot news’ – o mais alto nível de severidade nos livros da SAP – o mais importante dos recém-lançados notas de segurança resolve uma vulnerabilidade de injeção de comando do SO no SAP ECC e S/4HANA (IS-OIL).
Rastreada como CVE-2023-36922 (pontuação CVSS de 9,1), a vulnerabilidade “permite que um invasor autenticado injete um comando arbitrário do sistema operacional em um parâmetro desprotegido de uma transação e programa vulnerável”, empresa de segurança de aplicativos corporativos Onapsis explica.
Um software de planejamento de recursos empresariais, o ECC (ERP Central Component) é o componente principal do SAP Business Suite.
A exploração bem-sucedida do defeito de segurança pode afetar a confidencialidade, integridade e disponibilidade do sistema vulnerável.
Outra nota de segurança ‘hot news’ no conjunto de patches SAP deste mês é uma atualização para uma nota de abril de 2018 que traz a versão mais recente do Chromium para SAP Business Client.
Marcada com uma pontuação CVSS de 10 (de 10), a nota de segurança corrige 56 bugs, incluindo duas falhas de gravidade crítica e 35 falhas de alta gravidade, observa Onapsis.
A SAP lançou sete notas de segurança de alta prioridade esta semana, uma das quais é uma atualização de uma nota lançada em junho de 2023, que trata de um problema de cross-site scripting (XSS) na UI5 (Variant Management).
As outras seis notas de alta prioridade abordam um problema de contrabando de solicitação e concatenação de solicitação e um bug de corrupção de memória no Web Dispatcher, uma vulnerabilidade de negação de serviço (DoS) no SQL Anywhere e uma falha SSRF cega não autenticada e um problema de injeção de cabeçalho em Solution Manager (agente de diagnóstico).
As nove notas de segurança restantes que a SAP lançou esta semana resolvem vulnerabilidades de gravidade média em NetWeaver Process Integration, S/4HANA, Enable Now, NetWeaver AS ABAP e ABAP Platform, BusinessObjects, NetWeaver AS for Java, ERP Defense Forces and Public Security e Business Armazém e BW/4HANA.
Embora não haja menção de nenhuma dessas falhas sendo exploradas na natureza, as organizações são aconselhadas a aplicar os patches disponíveis o mais rápido possível. Vulnerabilidades conhecidas em produtos corporativos representam um alvo atraente para agentes de ameaças.
:
