Sintesi

SAP rilascia il Security Patch Day di novembre che risolve diverse vulnerabilità, di cui una con gravità “alta” che interessa il prodotto SAP Web Dispatcher, componente chiave per la gestione del traffico HTTP(S) verso i sistemi SAP. Tale vulnerabilità potrebbe permettere ad un utente malevolo la creazione di link opportunamente predisposti che, qualora eseguiti tramite browser (XSS) o indirizzati ai server target (SSRF), potrebbero permettere l’esecuzione di codice arbitrario sulle istanze interessate.

Tipologia

• Arbitrary Code Execution

Prodotti e versioni affette

SAP Web Dispatcher, versioni

• WEBDISP 7.77, 7.89, 7.93
• KERNEL 7.77, 7.89, 7.93, 9.12, 9.13

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-47590

Riferimenti

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2024.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.