SAP remediază vulnerabilități critice în cadrul actualizărilor de securitate din luna mai 2023
Compania SAP a anunțat lansarea a 18 noi avize în suita de actualizări de securitate din luna mai 2023, inclusiv 2 avize denumite hot news ce fac referire la vulnerabilități critice.
Unul dintre avizele denumite hot news remediază 5 vulnerabilități din Reprise License Manager (RLM) 14.2 componentă a SAP 3D Visual Enterprise License Manager.
Cea mai severă dintre acestea este CVE-2021-44152 (scor CVSS de 9,8), o vulnerabilitate care se referă la verificarea necorespunzătoare a procesului de autentificareși ar putea permite unui atacator neautentificat să schimbe parola oricărui cont de utilizator.
Dintre cele 4 vulnerabilități rămase, 3 au un grad de severitate critic și una cu grad de severitate mediu.
Ca o soluție de remediere, specialiștii recomandă dezactivarea manuală a interfeței web RLM.
Cel de-al doilea aviz hot news remediază mai multe vulnerabilități de tip information disclosure în BusinessObjects Intelligence Platform, care sunt urmărite colectiv ca CVE-2023-28762 (scor CVSS de 9,1).
Cea mai severă dintre aceste vulnerabilități permite unui atacator conectat ca administrator să recupereze token-ul de conectare al oricărui utilizator sau server, fără interacțiunea utilizatorului.
SAP a lansat săptămâna aceasta 7 noi avize care au prioritate critică, pentru a remedia vulnerabilitățile din NetWeaver, IBP Excel add-in, PowerDesigner (Proxy), Commerce, GUI pentru Windows și SAPUI5. Tot marți au fost publicate șapte avize cu prioritate medie și două cu prioritate scăzută.
Sursă: https://www.securityweek.com/sap-patches-critical-vulnerabilities-with-may-2023-security-updates/
