SAP corregge 19 bug di sicurezza, 5 dei quali sono con score superiore a 9.0

Redazione RHC : 18 Marzo 2023 15:41

SAP ha recentemente corretto 19 vulnerabilità  nell’ambito delle patch di marzo 2023. Cinque vulnerabilità sono classificate come critiche e sono state anche etichettate come “hot news” dal fornitore.

Le vulnerabilità critiche interessano diverse versioni dei seguenti prodotti:

• SAP Business Objects Business Intelligence (CMC)
• SAP NetWeaver AS per Java
• SAP NetWeaver Application Server per piattaforma ABAP e ABAP
• SAP NetWeaver AS per piattaforma ABAP e ABAP (programma SAPRSBRO)
• SAP Business Objects (Adaptive Job Server)

Le vulnerabilità critiche risolte dalla patch e le specifiche delle versioni del prodotto interessate sono descritte di seguito:

• CVE-2023-25616 (punteggio CVSS: 9,9):  una vulnerabilità critica di code injection nella  piattaforma SAP Business Intelligence (versioni 420 e 430)  che consente agli aggressori di accedere alle risorse disponibili solo per gli utenti privilegiati. Un attacco riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.
• CVE-2023-23857 (punteggio CVSS: 9.8)  Un utente malintenzionato non autenticato può sfruttare una vulnerabilità in  SAP NetWeaver AS per Java, versione 7.50, consentendogli di eseguire operazioni non autorizzate sui sistemi. L’attaccante può accedere ai servizi tramite l’API di directory, potenzialmente leggendo e modificando informazioni sensibili e rendendo il sistema non rispondente o non disponibile.
• CVE-2023-27269 (punteggio CVSS: 9,6)  Un problema critico di path traversal in SAP NetWeaver Application Server per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 e 791)  che consente agli utenti non amministratori di sovrascrivere i file di sistema. Durante questo attacco, non è possibile leggere alcun dato, ma l’aggressore può potenzialmente sovrascrivere file critici del sistema operativo. Ciò potrebbe comportare l’indisponibilità del sistema.
• CVE-2023-27500 (punteggio CVSS: 9,6)  Un difetto critico di directory traversal in  SAP NetWeaver AS per ABAP (versioni 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757). Un utente malintenzionato può sfruttare la falla nel programma  SAPRSBRO  per sovrascrivere i file di sistema critici e rendere il sistema non disponibile.
• CVE-2023-25617 (punteggio CVSS: 9.0):  le versioni 420 e 430 di SAP Business Object (Adaptive Job Server)  presentano questa vulnerabilità che consente agli utenti remoti e autenticati con diritti di pianificazione di eseguire comandi arbitrari su sistemi Unix se l’esecuzione di oggetti programma è abilitata. La vulnerabilità può essere sfruttata tramite BI Launchpad, Central Management Console o un’applicazione personalizzata basata sull’SDK Java pubblico. Uno sfruttamento riuscito potrebbe influire sulla riservatezza, l’integrità e la disponibilità del sistema.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Si consiglia agli utenti e agli amministratori dei prodotti SAP interessati di eseguire immediatamente l’aggiornamento alle versioni più recenti.

Maggiori informazioni sono disponibili qui: 
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli