Njemački softverski gigant SAP popravio je više desetina novih ranjivosti svojim Patch Tuesday ažuriranjima iz avgusta 2023. godine, uključujući kritičnu grešku koja utiče na kompanijski proizvod za modelovanje podataka PowerDesigner i arhitekturu preduzeća.
SAP je objavio 16 novih zakrpa i ažurirao nekoliko ranije objavljenih popravki.
Kritična (HotNews) greška PowerDesigner-a, praćena kao CVE-2023-37483, je nepravilan problem kontrole pristupa koji haker bez autentifikacije može iskoristiti da pokrene proizvoljne upite prema pozadinskoj bazi podataka, navodi firmia za sigurnost poslovnih aplikacija Onapsis .
Onapsis je napomenuo da isto ažuriranje također popravlja problem s otkrivanjem lozinke srednje ozbiljnosti u SAP PowerDesigneru.
SAP je također obavijestio kupce o zakrpi za CVE-2023-36923, ranjivost ubrizgavanja koda visoke ozbiljnosti u PowerDesigner-u.
“Zakrpljena ranjivost Code Injection označena je CVSS rezultatom 7,8 i omogućava hakeru s lokalnim pristupom sistemu da postavi malicioznu biblioteku koju aplikacija može izvršiti,” objasnio je Onapsis. “Nakon uspješnog eksploatacije, hakeri mogu kontrolisati ponašanje aplikacije. Ovo utiče samo na kupce koji koriste paket SAP SQL Analyzer za PowerDesigner 17 i SAP PowerDesigner 16.7 SP06 PL03.”
SAP je takođe istakao CVE-2023-37490, binary hijack grešku u paketu BusinessObjects Business Intelligence Suite koja „dozvoljava hakerima da ugroze integritet i poverljivost sistema“, kao i CVE-2023-39437, XSS ranjivost u SAP Business One.
Sigurnosne rupe su također riješene u S/4HANA, NetWeaver AS ABAP, Message Serveru, Host Agentu, Netweaver procesnoj integraciji, Commerce and Commerce Cloudu, SAP-u za upravljanje odnosima s dobavljačima i ECC.
Poznato je da hakeri iskorištavaju ranjivost SAP proizvoda, zbog čega je važno da organizacije pregledaju najnovije zakrpe i poduzmu mjere prema potrebi.
CISA-in Katalog poznatih eksploatisanih ranjivosti trenutno uključuje četiri SAP propusta koji su eksploatisani.
Izvor: Securityweek