SAP retter kritiske sårbarheder

SAP har udgivet 18 nye sikkerhedsnotater i forbindelse maj måneds 'Patch Day', herunder to, der løser kritiske sårbarheder i 3D Visual Enterprise License Manager og BusinessObjects.

Den tyske producent af virksomhedsløsninger SAP har i sidste uge udgivet 18 nye advisories vedrørende patch-dagen for maj 2023. To af dem omhandler kritiske sårbarheder. Det skriver Security Week.

Den mest alvorlige sårbarhed har id’et CVE-2021-44152 (CVSS-score på 9,8). Det er en ukorrekt godkendelsesstjek, der kan gøre det muligt for en uautoriseret hacker at ændre adgangskoden til enhver brugerkonto.

Fejlen ligger i Reprise License Manager (RLM) 14.2-komponenten i SAP 3D Visual Enterprise License Manager. Derudover er der yderligere fire fejl i spændet fra 5-9 på CVSS-skalaen

Fra SAPs patch-dag er der også konstateret flere sårbarheder ved offentliggørelse af oplysninger i BusinessObjects Intelligence-platformen. Disse fejl ligger alle under id’et CVE-2023-28762 og har en CVSS-score på 9,1.

Af disse er den mest alvorlige en fejl, der gør det muligt for en angriber, der er logget ind som administrator, at hente login-tokenet for enhver logget ind bruger eller server uden brugerinteraktion. Dette giver hackeren mulighed for at efterligne enhver bruger på platformen for at få adgang til og ændre data og gøre systemet delvist eller helt utilgængeligt.

Links:

https://www.securityweek.com/sap-patches-critical-vulnerabilities-with-may-2023-security-updates/

Keywords: