A SAP publicou hoje 25 notas de segurança no seu Patch Day de agosto (incluindo as que foram lançadas ou atualizadas desde o última Patch Tuesday). Isso inclui duas notas HotNews e quatro notas de alta prioridade. ‘HotNews’ é a classificação de prioridade mais alta na SAP, pois trata de vulnerabilidades de gravidade crítica. A primeira trata de falta de uma verificação de autenticação na plataforma BusinessObjects Business Intelligence. Registrada como CVE-2024-41730 (pontuação CVSS de 9,8), a falha pode ser explorada para obter um token de logon usando um endpoint REST, potencialmente levando ao comprometimento total do sistema.
Leia também
Vulnerabilidades de IA da SAP expõem nuvem
Ciberataques a aplicativos SAP crescem rapidamente, diz relatório
A segunda HotNews aborda a CVE-2024-29415 (pontuação CVSS de 9,1), um bug de falsificação de solicitação do lado do servidor (SSRF) na biblioteca Node.js usada no Build Apps. De acordo com a SAP, todos os aplicativos criados usando o Build Apps devem ser reconstruídos usando a versão 4.11.130 ou posterior do software.
A empresa Onapsis, especializada em segurança de ambientes SAP, deu suporte à SAP para corrigir uma vulnerabilidade de alta prioridade no SAP BEx Web Java Runtime Export Web Service. A equipe do ORL (Onapsis Research Labs) descobriu que documentos de fontes não confiáveis são validados de forma insuficiente. Isso permite que um invasor recupere informações do sistema SAP ADS e esgote o número de serviços XMLForm, o que torna a renderização do SAP ADS (criação de PDF) indisponível. A Nota de Segurança SAP nº 3485284 , marcada com uma pontuação CVSS de 8,2, fornece um patch para SAP NW 7.50 BI JAVA que inclui um analisador XML atualizado.
