شرکت SAP چند آسیبپذیری در محصولات خود را اطلاعرسانی کرد.
- آسیبپذیری با شناسه CVE-2024-22125 و شدت بالا 7.4 در Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) که امکان افشای اطلاعات حساس را برای مهاجم فراهم میآورد. در این آسیبپذیری محرمانگی تحت تأثیر قرار میگیرد.
- آسیبپذیری با شناسه CVE-2024-21737 و شدت بالا 8.4 در SAP Application Interface Framework File Adapter که امکان اجرای کد را برای مهاجم احرازهویت شده فراهم میکند. مهاجم با سطح دسترسی بالا میتواند از یک ماژول تابع جهت عبور از لایههای مختلف و اجرای مستقیم دستورات سیستمعامل استفاده کند و عملکرد برنامه را کنترل کند. در این آسیبپذیری محرمانگی، یکپارچگی و دسترسپذیری تحت تأثیر قرار میگیرند.
- آسیبپذیری با شناسه CVE-2024-21735 و شدت بالا 7.3 در SAP LT Replication Server بهدلیل بررسی نادرست مجوزها امکان ارتقاء سطح دسترسی و انجام اقدامات مخرب را برای مهاجم احرازهویت شده فراهم میآورد. در این آسیبپذیری محرمانگی، یکپارچگی و دسترسپذیری تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
این آسیبپذیری محصولات SAP شامل Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) نسخه 1.0، SAP Application Interface Framework File Adapter نسخه 702 و LT Replication Server نسخههای S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 و S4CORE 108 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نسبت به ارتقاء محصولات SAP به آخرین نسخه وصلهشده، اقدام نمایند.
منبع خبر:
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
- 53