SAP исправила 10 новых уязвимостей в NetWeaver

SAP особенно выделила обновление для уязвимости от апреля 2018 года, содержавшей в себе обновления для Chrome в SAP Business Client. Второй по серьезности стала CVE-2022-27668 с оценкой 8,6 по шкале CVSS. Уязвимость заключается в неправильном контроле доступа, связанного с прокси SAProuter в NetWeaver и ABAP Platform.

“Определенная конфигурация таблицы разрешенных маршрутов позволяет неавторизованному злоумышленнику обойти защиту и выполнить команды администрирования на подключенных к SAPRouter системах.", – поясняет компания Onapsis, специализирующаяся на безопасности бизнес-приложений. Специалисты рекомендуют клиентам как можно скорее применить доступные исправления.

Onapsis также отметила, что SAP устранила опасную уязвимость, появившуюся из-за неправильного контроля доступа в NetWeaver AS Java. Уязвимость имеет оценку 8,2 по оценке CVSS и позволяет злоумышленникам с легкостью взломать систему жертвы. Исправление этой уязвимости было выпущено в прошлом месяце вместе с другими четырьмя уязвимостями.

Еще было выпущено обновление для устранения CVE-2022-31590 с оценкой 7,8 CVSS, позволяющей повышать привилегии в PowerDesigner Proxy 16.7.

Все остальные уязвимости классифицируются как средние или незначительные.