Vulnerabilidade crítica de controle de acesso corrigida no SAP Marketing
A SAP anunciou esta semana o lançamento de 10 novas notas de segurança como parte do Security Patch Day de setembro de 2020, bem como atualizações para 6 notas de segurança anteriores.
Duas das notas de segurança são classificadas como Hot News e abordam falhas críticas no SAP Marketing – Mobile Channel Servlet (CVE-2020-6320 – controle de acesso impróprio) e NetWeaver (servidor ABAP) e plataforma ABAP (CVE-2020-6318 – injeção de código) , que apresentam pontuações CVSS de 9,6 e 9,1, respectivamente.
O Mobile Channel Servlet permite campanhas móveis nas quais notificações push são enviadas para dispositivos Android e iOS por meio do Google Firebase. A falha crítica abordada nesta semana permite que um invasor autenticado acesse funções restritas.
“Uma exploração da vulnerabilidade permite que um invasor para executar tarefas relacionadas a dados de contato e interação”, Onapsis, uma empresa especializada na obtenção de aplicativos Oracle e SAP, explica .
A falha de injeção de código no NetWeaver permitiria que um invasor assumisse o controle total do aplicativo. Assim, o invasor pode visualizar, alterar ou excluir dados por meio de código injetado na memória e executado pelo aplicativo ou pode fazer com que o aplicativo seja encerrado.
Além disso, a SAP atualizou duas outras Hot News Security Notes, uma abordando uma verificação de autorização ausente no Solution Manager (CVE-2020-6207, pontuação CVSS de 10) e outra que lida com atualizações de segurança para o navegador Chromium no Business Client (pontuação CVSS de 9,8).
Duas outras notas de segurança atualizadas lidam com vulnerabilidades de alta gravidade, ou seja, uma injeção de código no NetWeaver (ABAP) e na plataforma ABAP (CVE-2020-6296), e uma falsificação de solicitação do lado do servidor no NetWeaver AS ABAP (CVE-2020-6275) .
“Três dos seis HotNews e notas de alta prioridade contêm apenas informações de atualização mais ou menos insignificantes que não requerem ação do cliente (em comparação com a versão inicial / anterior das notas). As duas notas HotNews # 2961991 e # 2958563 afetam apenas um pequeno número de clientes SAP (SAP Marketing, SAP NetWeaver AS ABAP em DB4 ou Sybase). Isso dá tempo suficiente para verificar o status de todos os patches de segurança relevantes em seus sistemas SAP ”, observa Onapsis.
Cinco notas de segurança lançadas esta semana abordam vulnerabilidades de risco médio no Bank Analyzer e S / 4HANA Financial Products (CVE-2020-6311), Commerce (CVE-2020-6302), NetWeaver AS ABAP (CVE-2020-6324), NetWeaver AS Java (CVE-2020-6326) e Fiori (Launchpad) (CVE-2020-6283).
Duas outras notas de segurança de média prioridade tratam de múltiplas vulnerabilidades na BusinessObjects Business Intelligence Platform (CVE-2020-6325, CVE-2020-6312 e CVE-2020-6288) e 3D Visual Enterprise Viewer (38 CVEs).
Esta semana, a SAP lançou atualizações para dois bugs de média prioridade: um abordando vulnerabilidades de cross-site scripting (XSS) no jQuery modificado empacotado com SAPUI5 (CVE-2020-11022, CVE-2020-11023) e outro corrigindo um servidor pedido de falsificação em NetWeaver AS JAVA (CVE-2020-6282).
A SAP também anunciou uma Nota de Segurança de baixa prioridade que corrige uma vulnerabilidade de divulgação de informações no Adaptive Server Enterprise (CVE-2020-6317).
Fonte: https://www.securityweek.com/critical-access-control-vulnerability-patched-sap-marketing
