Компания SAP SE выпустила набор патчей, устраняющий 11 уязвимостей в девяти продуктах. Степень опасности одной из новых проблем оценена как высокая, остальных — как умеренная.

Разработчик также обновил бюллетени, посвященные критическим уязвимостям в программах Business Client и SolMan Diagnostics Agent.

Бизнес-клиент построен на основе Chromium, и SAP корректирует первоначальный патч с каждым новым выпуском этого браузера. Возможность внедрения команд в приложении Diagnostics Agent (CVE-2019-0330) была впервые закрыта в июле, однако дальнейшее изучение этой дыры породило еще несколько сценариев атаки, и заплатку каждый раз исправляли. В последнем обновлении к бюллетеню сказано, что новый вариант патча — самый полный.

Из недавно найденных уязвимостей наиболее опасна CVE-2019-0396 (7,1 балла по шкале CVSS). Причиной ее появления является некорректная фильтрация содержимого документов XML в веб-интерфейсе платформы администрирования BusinessObjects Business Intelligence (BI). По словам обнаруживших ее исследователей из Onapsis, подобная ошибка может привести к раскрытию важной информации либо полному отказу системы.

Остальные проблемы получили от 4,3 до 6,5 балла CVSS. В разделении по типам уязвимостей перечень SAP можно представить следующим образом:

  • межсайтовый скриптинг в BusinessObjects BI и учебной платформе SAP Enable Now;
  • отсутствие проверки прав доступа в приложениях ERP Sales, SAP S/4HANA Sales и Treasury and Risk Management;
  • повышение привилегий в сервере приложений NetWeaver AS Java;
  • внедрение SQL-кода в программе управления качеством Quality Management;
  • подмена контента в обработчике HTTP-запросов коммерческого JavaScript-фреймворка UI5;
  • раскрытие информации в ПО для управления распределенными данными Data Hub и сервере NetWeaver AS Java (в последнем случае, согласно Onapsis, проблема вызвана отсутствием проверки прав доступа на уровне eCATT-сервиса).

В своей записи эксперты Onapsis также упоминают уязвимость высокой степени опасности, пропатченную в Internet Pricing and Configurator (IPC) — компоненте, присутствующем во многих приложениях SAP, однако в новом списке исправлений его нет.

Категории: Уязвимости