Fornecedor de software de aplicativos empresariais SAP AG anunciou nesta terça-feira que está fornecendo correções para quatro vulnerabilidades críticas classificadas como de alto risco pela NIST e outros organismos de classificação de vulnerabilidades.
As vulnerabilidades afetam o SAP Hana, o suporte ao cliente SAP e o software Ariba, segundo o boletim de segurança do SAP. A vulnerabilidade mais grave, classificada como CVE-2020-6287, é uma vulnerabilidade de processamento de linguagem de marcação de dados (DML) que pode permitir que um atacante não autorizado crie, altere ou exclua dados do banco de dados SAP Hana.
A segunda vulnerabilidade mais crítica, classificada como CVE-2020-6286, é uma vulnerabilidade de lógica inversa que pode levar à elevação de privilégios por meio do Subcomponente de Cliente do SAP NetWeaver. A vulnerabilidade de parâmetro não verificado CVE-2020-6285, classificada como alta, existe no Subcomponente Ariba Supplier Management e pode permitir que um invasor não autorizado grave arquivos em um sistema ariba.
Por fim, a vulnerabilidade de parâmetro insuficientemente validado CVE-2020-6284, classificada como alta, existe no Subcomponente de Cliente do SAP NetWeaver e pode permitir a um invasor não autorizado enviar solicitações HTTP que podem permitir o acesso a recursos restritos.
SAP forneceu correções para todas as vulnerabilidades lançadas nesta quarta-feira e assegurou que não houve evidências de exploração de nenhuma delas. No entanto, devido às naturezas das vulnerabilidades e ao alto risco de exploração, o SAP recomenda que as empresas apliquem as atualizações o mais rápido possível.
SAP também anunciou recentemente que está fornecendo atualizações de segurança para corrigir duas vulnerabilidades de elevação de privilégios de grau médio. Uma das vulnerabilidades, classificada como CVE-2020-6278, afeta vários produtos SAP, incluindo o SAP Commerce Cloud, o SAP Customer Data Cloud e o SAP Data Hub. A outra vulnerabilidade classificada como CVE-2020-6279 afeta o Subcomponente de Portal do SAP NetWeaver.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…