SAP lança patches para vulnerabilidades de alta gravidade

A SAP anunciou o lançamento de 20 novas notas de segurança e três atualizações, no âmbito do seu Security Patch Day de julho. Das novas notas de segurança, quatro dizem respeito a vulnerabilidades de alta gravidade, uma com impacto no SAP Business Objects e três encontradas no Business One.

A mais grave é a CVE-2022-35228, com uma pontuação CVSS de 8.3, uma vulnerabilidade de divulgação de informação na consola central de gestão na Business Intelligence Platform do BusinessObjects. A falha “permite que um atacante não autenticado obtenha informações simbólicas sobre a rede”, mas o ataque “exigiria que um utilizador legítimo acedesse à aplicação”, explica a Onapsis, citada pela Security Week.

O primeiro dos bugs de alta gravidade que impactam o Business One é uma falha de disclosure flaw (CVE-2022-32249) que permite a um atacante altamente privilegiado aceder a informações sensíveis que podem ser usadas em ataques, como credenciais. Já o segundo problema é uma verificação de autorização em falta (CVE-2022-28771) que permite a um atacante não autenticado entrar numa aplicação utilizando pedidos HTTP maliciosos enviados através da rede. Finalmente, o terceiro bug no Business One é uma vulnerabilidade de code injection (CVE-2022-31593) que permite a um intruso de baixo privilégio controlar o comportamento da aplicação.

No total, foram divulgadas 17 notas de segurança que abordam vulnerabilidades de severidade média, a maioria das quais afetam o NetWeaver Enterprise Portal e os Business Objects. A SAP publicou seis notas de segurança que abordam as vulnerabilidades de cross-site scripting (XSS) no NetWeaver Enterprise Portal, todas com uma pontuação CVSS de 6.1. Cinco outras notas de segurança abordam problemas de gravidade média em Business Objects. As restantes notas de segurança de gravidade média tratam de vulnerabilidades em SAPS/4HANA, EA-DFPS, Plataforma ABAP e Business One.