A SAP publicou hoje dez notas de segurança novas e fez atualizações em duas publicadas anteriormente, como parte do Security Patch Day de junho de 2024. O novo conjunto de patches da SAP inclui duas notas de segurança de alta prioridade, sendo a mais grave um bug de cross-site scripting (XSS) na plataforma Consolidação Financeira.
De acordo com a empresa de segurança de aplicativos Onapsis, a nota de segurança aborda duas falhas de XSS na plataforma da SAP, catalogadas como CVE-2024-37177 (gravidade CVSS de 8,1). “O bug mais crítico permite que os dados entrem em um aplicativo da web por meio de uma fonte não confiável e manipulem o conteúdo do site. Isso causa um grande impacto na confidencialidade e integridade da aplicação”, explica relatório da Onapsis.
A segunda nota de alta prioridade resolve uma vulnerabilidade de negação de serviço (DoS) no SAP NetWeaver AS Java, registrada como CVE-2024-34688 (pontuação CVSS de 7,5).
O problema existe porque o acesso a esses serviços não era restrito, permitindo que invasores causassem condições de negação de serviço no aplicativo e impedissem que usuários legítimos o utilizassem, diz o relatório.
As outras oito notas de segurança abordam vulnerabilidades de gravidade média nas plataformas NetWeaver e ABAP, Document Builder, S/4HANA, CRM, BW/4HANA Transformation and DTP, Student Life Cycle Management e NetWeaver AS Produtos Java.
A exploração bem-sucedida desses problemas pode resultar em condições de DoS, uploads arbitrários de arquivos, divulgação de informações ou adulteração de dados. As duas notas de segurança restantes, uma nova e outra atualizada, resolvem problemas de baixa gravidade na plataforma BusinessObjects Business Intelligence e nos componentes da infraestrutura financeira central.
A SAP não faz menção à exploração de nenhuma dessas vulnerabilidades, mas sabe-se que há invasores que têm como alvo falhas em produtos SAP para as quais foram lançados patches. As organizações são aconselhadas a atualizar as suas instalações o mais rápido possível.
Fonte: CisoAdvisor
