Fornecedor de software de aplicativos empresariais SAP AG anunciou nesta terça-feira que está fornecendo correções para quatro vulnerabilidades críticas classificadas como de alto risco pela NIST e outros organismos de classificação de vulnerabilidades.
As vulnerabilidades afetam o SAP Hana, o suporte ao cliente SAP e o software Ariba, segundo o boletim de segurança do SAP. A vulnerabilidade mais grave, classificada como CVE-2020-6287, é uma vulnerabilidade de processamento de linguagem de marcação de dados (DML) que pode permitir que um atacante não autorizado crie, altere ou exclua dados do banco de dados SAP Hana.
A segunda vulnerabilidade mais crítica, classificada como CVE-2020-6286, é uma vulnerabilidade de lógica inversa que pode levar à elevação de privilégios por meio do Subcomponente de Cliente do SAP NetWeaver. A vulnerabilidade de parâmetro não verificado CVE-2020-6285, classificada como alta, existe no Subcomponente Ariba Supplier Management e pode permitir que um invasor não autorizado grave arquivos em um sistema ariba.
Por fim, a vulnerabilidade de parâmetro insuficientemente validado CVE-2020-6284, classificada como alta, existe no Subcomponente de Cliente do SAP NetWeaver e pode permitir a um invasor não autorizado enviar solicitações HTTP que podem permitir o acesso a recursos restritos.
SAP forneceu correções para todas as vulnerabilidades lançadas nesta quarta-feira e assegurou que não houve evidências de exploração de nenhuma delas. No entanto, devido às naturezas das vulnerabilidades e ao alto risco de exploração, o SAP recomenda que as empresas apliquem as atualizações o mais rápido possível.
SAP também anunciou recentemente que está fornecendo atualizações de segurança para corrigir duas vulnerabilidades de elevação de privilégios de grau médio. Uma das vulnerabilidades, classificada como CVE-2020-6278, afeta vários produtos SAP, incluindo o SAP Commerce Cloud, o SAP Customer Data Cloud e o SAP Data Hub. A outra vulnerabilidade classificada como CVE-2020-6279 afeta o Subcomponente de Portal do SAP NetWeaver.
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…