A SAP documenta vários problemas de gravidade crítica em alguns do seus produtos e alerta sobre o risco de ataques de injeção de comando. A gigante alemã de software de gestão empresarial lançou na terça-feira, 12, dez notas de segurança novas e duas atualizadas como parte do Security Patch Day de março, chamando a atenção para bugs graves em produtos voltados para negócios.
Três das notas são marcadas como “notícias quentes” — a classificação de gravidade mais alta no manual da SAP — e resolvem vulnerabilidades críticas no o Chromium (o navegador de código aberto do Google) no Business Client, Build Apps e NetWeaver AS Java.
O mais grave é uma atualização que traz os patches mais recentes do Chrome para o Business Client. Agora executando o Chromium versão 121.0.6167.184, a atualização resolve 29 falhas de segurança no navegador, incluindo dois bugs de gravidade crítica e 15 problemas de alta gravidade.
A empresa documentou o segundo bug sério como CVE-2019-10744 (escore de 9.4 no sistema de pontuação comum de vulnerabilidades – CVSS), uma vulnerabilidade crítica na biblioteca de utilitários lodash em Build Apps. Os aplicativos desenvolvidos usando uma iteração defeituosa da ferramenta permitem que invasores executem comandos não autorizados no sistema, de acordo com um alerta da empresa de segurança de aplicativos Onapsis. O Build Apps versão 4.9.145 resolve a falha e os aplicativos devem ser reconstruídos usando esta ou uma iteração mais recente da ferramenta de programação.
A terceira atualização divulgada no Security Patch Day da SAP deste mês aborda o CVE-2024-22127 (pontuação de 9.1 no CVSS), uma falha de injeção de código no plugin Administrator Log Viewer do NetWeaver AS Java. Uma lista incompleta de tipos de arquivos proibidos para upload permitiria que um invasor carregasse arquivos arbitrários, o que pode levar à injeção de comando.
Veja isso
SAP corrige vulnerabilidade crítica no aplicativo Business One
SAP lança atualizações de segurança para cinco bugs críticos
Na terça-feira, a SAP também publicou três notas de segurança de alta prioridade, incluindo uma atualização de uma nota de agosto de 2023 abordando uma falha de autenticação inadequada no Commerce Cloud que poderia permitir que invasores se autenticassem sem uma senha longa.
As seis notas de segurança restantes abordam vulnerabilidades de gravidade média no NetWeaver, no Fiori Front End Server e na plataforma ABAP.
A empresa não faz menção à exploração de nenhuma dessas vulnerabilidades, mas sabe-se que operadores de ameaças têm como alvo falhas em aplicativos SAP para os quais foram lançados patches.
Para ter acesso complete ao Security Patch Day de março da SAP (em inglês) clique aqui.
