A SAP publicou em seu primeiro Patch Day de 2021, dia 12 de janeiro, um total de 17 alertas, entre os quais cinco são classificados como “HotNews” (graves) e dois como “alta prioridade”. Dois dos alertas “HotNews” têm score CVSS de 9,9, e corrigem problemas críticos no SAP Business Warehouse (SAP BW) e SAP BW / 4HANA. Eles só não ganharam CVSS 10 porque exigem um mínimo de privilégios no sistema.
O primeiro (SAP Security Note # 2999854) na verdade afeta ambos os aplicativos e corrige uma vulnerabilidade perigosa de injeção de código: uma validação insuficiente de entrada de dados pode permitir que um usuário com poucos privilégios injete um código malicioso que acaba sendo armazenado como relatório.
Veja isso
SAP publica 11 patches e corrige falha com gravidade grau 10
SAP vai corrigir segurança em sete linhas de produtos
Esse relatório pode posteriormente ser executado e, portanto, potencialmente levar a cenários com impacto negativo sobre a confidencialidade, integridade e disponibilidade do sistema (como também de sistemas interconectados).
O outro alerta grave é o SAP Security Note # 2986980, que afeta apenas o SAP Business Warehouse. Ele corrige uma vulnerabilidade de injeção de SQL, com score CVSS de 9,9, e uma vulnerabilidade de falta de verificação, marcada com score CVSS de 6,5. As duas se encontram na interface de banco de dados do SAP BW. Uma higienização inadequada dos comandos SQL permitia que um invasor executasse comandos SQL arbitrários no banco de dados, o que poderia levar a um comprometimento total do sistema.
Com agências internacionais