Risque
- Exécution de code arbitraire ;
- contournement de la politique de sécurité ;
- atteinte à l'intégrité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- SAP NetWeaver 7.x.
Résumé
De multiples vulnérabilités, dont les plus critiques permettent l'exécution de code arbitraire et l'atteinte à l'intégrité des données, ont été corrigées dans SAP NetWeaver 7.x.
Description
SAP a corrigé de mutiples vulnérabilités dans NetWeaver 7.x. Celles-ci permettent notamment :
- l'exécution de commandes arbitraire ;
- l'injection de code HTML arbitraire dans les données renvoyées aux utilisateurs ;
- la création arbitraire d'utilisateurs.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de support SAP 1589525 :
https://service.sap.com/sap/support/notes/1589525
- Note de support SAP 1616058 :
https://service.sap.com/sap/support/notes/1616058
- Note de support SAP 1580017 :
https://service.sap.com/sap/support/notes/1580017
- Note de support SAP 1583286 :
https://service.sap.com/sap/support/notes/1583286
- Note de support SAP 1572325 :
https://service.sap.com/sap/support/notes/1572325
- Note de support SAP 1546307 :
https://service.sap.com/sap/support/notes/1546307
- Note de support SAP 1569550 :
https://service.sap.com/sap/support/notes/1569550