SAP corrige vulnerabilidades críticas em maio de 2023
SAP segue publicando atualizações de segurança para sanar vulnerabilidades críticas. As atualizações, disponibilizadas na última terça-feira (18), devem ser aplicadas o mais breve possível, uma vez que algumas das lacunas podem ser exploradas para permitir acesso não autorizado e execução de código arbitrário.
Fornecedor de software de aplicativos empresariais SAP AG anunciou nesta terça-feira que está fornecendo correções para quatro vulnerabilidades críticas classificadas como de alto risco pela NIST e outros organismos de classificação de vulnerabilidades.
As vulnerabilidades afetam o SAP Hana, o suporte ao cliente SAP e o software Ariba, segundo o boletim de segurança do SAP. A vulnerabilidade mais grave, classificada como CVE-2020-6287, é uma vulnerabilidade de processamento de linguagem de marcação de dados (DML) que pode permitir que um atacante não autorizado crie, altere ou exclua dados do banco de dados SAP Hana.
A segunda vulnerabilidade mais crítica, classificada como CVE-2020-6286, é uma vulnerabilidade de lógica inversa que pode levar à elevação de privilégios por meio do Subcomponente de Cliente do SAP NetWeaver. A vulnerabilidade de parâmetro não verificado CVE-2020-6285, classificada como alta, existe no Subcomponente Ariba Supplier Management e pode permitir que um invasor não autorizado grave arquivos em um sistema ariba.
Por fim, a vulnerabilidade de parâmetro insuficientemente validado CVE-2020-6284, classificada como alta, existe no Subcomponente de Cliente do SAP NetWeaver e pode permitir a um invasor não autorizado enviar solicitações HTTP que podem permitir o acesso a recursos restritos.
SAP forneceu correções para todas as vulnerabilidades lançadas nesta quarta-feira e assegurou que não houve evidências de exploração de nenhuma delas. No entanto, devido às naturezas das vulnerabilidades e ao alto risco de exploração, o SAP recomenda que as empresas apliquem as atualizações o mais rápido possível.
SAP também anunciou recentemente que está fornecendo atualizações de segurança para corrigir duas vulnerabilidades de elevação de privilégios de grau médio. Uma das vulnerabilidades, classificada como CVE-2020-6278, afeta vários produtos SAP, incluindo o SAP Commerce Cloud, o SAP Customer Data Cloud e o SAP Data Hub. A outra vulnerabilidade classificada como CVE-2020-6279 afeta o Subcomponente de Portal do SAP NetWeaver.