Duas das notas de segurança são classificadas como Hot News e abordam falhas críticas no SAP Marketing – Mobile Channel Servlet (CVE-2020-6320 – controle de acesso impróprio) e NetWeaver (servidor ABAP) e plataforma ABAP (CVE-2020-6318 – injeção de código) , que apresentam pontuações CVSS de 9,6 e 9,1, respectivamente.
O Mobile Channel Servlet permite campanhas móveis nas quais notificações push são enviadas para dispositivos Android e iOS por meio do Google Firebase. A falha crítica abordada nesta semana permite que um invasor autenticado acesse funções restritas.
“Uma exploração da vulnerabilidade permite que um invasor para executar tarefas relacionadas a dados de contato e interação”, Onapsis, uma empresa especializada na obtenção de aplicativos Oracle e SAP, explica .
A falha de injeção de código no NetWeaver permitiria que um invasor assumisse o controle total do aplicativo. Assim, o invasor pode visualizar, alterar ou excluir dados por meio de código injetado na memória e executado pelo aplicativo ou pode fazer com que o aplicativo seja encerrado.
Além disso, a SAP atualizou duas outras Hot News Security Notes, uma abordando uma verificação de autorização ausente no Solution Manager (CVE-2020-6207, pontuação CVSS de 10) e outra que lida com atualizações de segurança para o navegador Chromium no Business Client (pontuação CVSS de 9,8).
Duas outras notas de segurança atualizadas lidam com vulnerabilidades de alta gravidade, ou seja, uma injeção de código no NetWeaver (ABAP) e na plataforma ABAP (CVE-2020-6296), e uma falsificação de solicitação do lado do servidor no NetWeaver AS ABAP (CVE-2020-6275) .
“Três dos seis HotNews e notas de alta prioridade contêm apenas informações de atualização mais ou menos insignificantes que não requerem ação do cliente (em comparação com a versão inicial / anterior das notas). As duas notas HotNews # 2961991 e # 2958563 afetam apenas um pequeno número de clientes SAP (SAP Marketing, SAP NetWeaver AS ABAP em DB4 ou Sybase). Isso dá tempo suficiente para verificar o status de todos os patches de segurança relevantes em seus sistemas SAP ”, observa Onapsis.
Cinco notas de segurança lançadas esta semana abordam vulnerabilidades de risco médio no Bank Analyzer e S / 4HANA Financial Products (CVE-2020-6311), Commerce (CVE-2020-6302), NetWeaver AS ABAP (CVE-2020-6324), NetWeaver AS Java (CVE-2020-6326) e Fiori (Launchpad) (CVE-2020-6283).
Duas outras notas de segurança de média prioridade tratam de múltiplas vulnerabilidades na BusinessObjects Business Intelligence Platform (CVE-2020-6325, CVE-2020-6312 e CVE-2020-6288) e 3D Visual Enterprise Viewer (38 CVEs).
Esta semana, a SAP lançou atualizações para dois bugs de média prioridade: um abordando vulnerabilidades de cross-site scripting (XSS) no jQuery modificado empacotado com SAPUI5 (CVE-2020-11022, CVE-2020-11023) e outro corrigindo um servidor pedido de falsificação em NetWeaver AS JAVA (CVE-2020-6282).
A SAP também anunciou uma Nota de Segurança de baixa prioridade que corrige uma vulnerabilidade de divulgação de informações no Adaptive Server Enterprise (CVE-2020-6317).
Fonte: https://www.securityweek.com/critical-access-control-vulnerability-patched-sap-marketing
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…