apps-426559_1280.jpg

SAP corrige 9 vulnerabilidades críticas no patch day

Da Redação
12/08/2021

Terça-feira dia 10 de agosto de 2021 foi novamente o patch day da SAP: a empresa publicou atualizações de segurança para 19 vulnerabilidades em suas soluções, incluindo nove problemas críticos e perigosos segundo a consultoria Onapsis, especializada em segurança de soluções SAP.

Um dos problemas críticos (CVE-2021-33698) é uma vulnerabilidade de upload ilimitado de arquivos que afeta o SAP Business One. Um invasor pode explorar a vulnerabilidade de carregamento de script, sugerindo que a vulnerabilidade pode ser explorada para executar código arbitrário.

Veja isso
Como migrar SAP para a nuvem com segurança
Apps na nuvem respondem por 70% dos malwares corporativos

Outra vulnerabilidade (CVE-2021-33690) está relacionada ao Server Side Request Forgery (SSRF) e afeta a infraestrutura de desenvolvimento do NetWeaver. Um invasor pode explorar uma vulnerabilidade de proxy enviando solicitações especialmente criadas. Se o dispositivo estiver disponível na Web, um hacker pode “comprometer completamente os dados confidenciais no servidor e afetar sua disponibilidade”.

A terceira vulnerabilidade (CVE-2021-33701) é uma injeção de SQL no serviço SAP NZDT (Near Zero Downtime Technology) usado pelo S / 4HANA e o plugin móvel DMIS.

Outros problemas críticos corrigidos pela SAP incluem duas vulnerabilidades de cross-site scripting (XSS) e um problema de SSRF no NetWeaver Enterprise Portal. As vulnerabilidades de XSS afetam dois servlets do portal e permitem que um invasor injete código JavaScript nas páginas correspondentes. O código é executado no navegador da vítima quando ela acessa o servlet comprometido.

Uma vulnerabilidade de SSRF permite que um invasor não autorizado faça solicitações a servidores internos ou externos enganando o usuário, fazendo-o clicar em um link malicioso.

Uma vulnerabilidade de autenticação afeta todos os sistemas SAP que são acessados ​​por meio do Web Dispatcher. Também corrigimos a vulnerabilidade de interceptação de tarefa no aplicativo móvel Fiori Client para Android e a falta de vulnerabilidade de autenticação no SAP Business One.

Com agências de notícias internacionais

Compartilhar: