Sintesi

SAP rilascia il Security Patch Day di febbraio che risolve 13 nuove vulnerabilità nei suoi prodotti, di cui una con gravità “critica” e 5 con gravità “alta”.

Tipologia

• Data Manipulation
• Security Restrictions Bypass
• Information Disclosure
• Privilege Escalation

Prodotti e versioni affette

SAP

• ABA (Application Basis), versioni 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I
• NetWeaver AS Java (User Admin Application), versione 7.50
• NetWeaver AS Java (Guided Procedures), versione 7.50
• CRM WebClient UI, versioni S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, WEBCUIF 700, WEBCUIF 701, WEBCUIF 730, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 801
• IDES Systems, tutte le versioni
• Cloud Connector, versione 2.0

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-22131

CVE-2024-22126

CVE-2024-24743

CVE-2024-22130

CVE-2024-22132

CVE-2024-25642

Riferimenti

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2024.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.