SAP rilascia le patch di Agosto. Un bug critico da 9.8 di Score mette a rischio le installazioni

Redazione RHC : 18 Agosto 2024 17:25

SAP ha rilasciato la serie di patch di agosto che risolvono 17 vulnerabilità. Di particolare rilievo è un bug critico di bypass dell’autenticazione che ha consentito agli aggressori remoti di compromettere completamente il sistema.

La vulnerabilità, classificata CVE-2024-41730 e CVSS Vulnerability Score 9.8, è dovuta alla mancanza di controllo dell’autenticazione nelle versioni 430 e 440 della piattaforma SAP BusinessObjects Business Intelligence.

“Nella piattaforma SAP BusinessObjects Business Intelligence, se Single Signed On è abilitato per l’autenticazione Enterprise, un utente non autorizzato può ottenere un token di accesso utilizzando un endpoint REST”, riferiscono gli sviluppatori. “Un utente malintenzionato potrebbe compromettere completamente il sistema, compromettendo la riservatezza, l’integrità e la disponibilità dei dati.”

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Un’altra vulnerabilità critica (CVE-2024-29415, punteggio CVSS 9.1) risolta questo mese riguarda la falsificazione delle richieste lato server nelle applicazioni create con SAP Build Apps versione 4.11.130 e successive.

L’errore è correlato al pacchetto IP per Node.js, che controlla se un indirizzo IP è pubblico o privato. Quando si utilizza la notazione ottale, riconosce erroneamente 127.0.0.1 come indirizzo pubblico e instradabile a livello globale.

Va notato che il problema è apparso a causa di una soluzione incompleta per un problema simile CVE-2023-42282 l’anno scorso.

Altri problemi risolti da SAP questo mese includono quattro vulnerabilità ad alta gravità (ovvero classificate tra 7,4 e 8,2 sulla scala CVSS):

• CVE-2024-42374 è un problema di XML injection nel servizio Web SAP BEx Web Java Runtime Export che interessa BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 e BIWEBAPP 7.5 ;
• CVE-2023-30533 è un problema di Prototype Pollution in SAP S/4 HANA scoperto nel modulo Manage Supply Protection, che interessa le versioni della libreria SheetJS CE precedenti alla 0.19.3;
• CVE-2024-34688 è una vulnerabilità Denial of Service (DOS) in SAP NetWeaver AS Java che interessa la versione del componente Meta Model Repository MMR_SERVER 7.5;
• CVE-2024-33003 è un problema di divulgazione dei dati in SAP Commerce Cloud che interessa le versioni HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 e COM_CLOUD 2211.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.