В продуктах SAP исправлено девять критических и опасных уязвимостей

12 августа 2021 года

Крупный производитель программного обеспечения для предприятий SAP выпустил обновления безопасности для 19 уязвимостей в своих решениях, в том числе для девяти критических и опасных проблем.

Одна из критических проблем ( CVE-2021-33698 ) представляет собой уязвимость неограниченной загрузки файлов, затрагивающую SAP Business One. Злоумышленник может использовать уязвимость для загрузки скриптов, что предполагает возможность использования уязвимости для выполнения произвольного кода.

Еще одна уязвимость ( CVE-2021-33690 ) связана с подделкой запросов на стороне сервера (SSRF) и затрагивает инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы. Если устройство доступно в Сети, хакер может «полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность».

Третья уязвимость (CVE-2021-33701) представляет собой SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S/4HANA и мобильным плагином DMIS.

Другие опасные проблемы, исправленные SAP, включают две уязвимости межсайтового скриптинга (XSS) и проблему SSRF в NetWeaver Enterprise Portal. XSS-уязвимости затрагивают два сервлета портала и позволяют злоумышленнику внедрять JavaScript-код на соответствующие страницы. Код выполняется в браузере жертвы, когда она обращается к скомпрометированному сервлету.


SSRF-уязвимость позволяет неавторизованному злоумышленнику осуществлять запросы к внутренним или внешним серверам, обманом заставив пользователя щелкнуть на вредоносную ссылку.

Одна уязвимость аутентификации затрагивает все системы SAP, доступ к которым осуществляется через Web Dispatcher. Также была исправлена уязвимость перехвата задачи в мобильном приложении Fiori Client для Android и уязвимость отсутствия аутентификации в SAP Business One.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.