В продуктах SAP исправлено девять критических и опасных уязвимостей

Чт 12 Август 2021 12:39

Крупный производитель программного обеспечения для предприятий SAP выпустил обновления безопасности для 19 уязвимостей в своих решениях, в том числе для девяти критических и опасных проблем.

Одна из критических проблем ( CVE-2021-33698 ) представляет собой уязвимость неограниченной загрузки файлов, затрагивающую SAP Business One. Злоумышленник может использовать уязвимость для загрузки скриптов, что предполагает возможность использования уязвимости для выполнения произвольного кода.

Еще одна уязвимость ( CVE-2021-33690 ) связана с подделкой запросов на стороне сервера (SSRF) и затрагивает инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы. Если устройство доступно в Сети, хакер может «полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность».

Третья уязвимость (CVE-2021-33701) представляет собой SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S/4HANA и мобильным плагином DMIS.

Другие опасные проблемы, исправленные SAP, включают две уязвимости межсайтового скриптинга (XSS) и проблему SSRF в NetWeaver Enterprise Portal. XSS-уязвимости затрагивают два сервлета портала и позволяют злоумышленнику внедрять JavaScript-код на соответствующие страницы. Код выполняется в браузере жертвы, когда она обращается к скомпрометированному сервлету.

SSRF-уязвимость позволяет неавторизованному злоумышленнику осуществлять запросы к внутренним или внешним серверам, обманом заставив пользователя щелкнуть на вредоносную ссылку.

Одна уязвимость аутентификации затрагивает все системы SAP, доступ к которым осуществляется через Web Dispatcher. Также была исправлена уязвимость перехвата задачи в мобильном приложении Fiori Client для Android и уязвимость отсутствия аутентификации в SAP Business One.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 307 дней 14 часов 35 минут 37 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.