Компания выпустила набор обновлений безопасности для десяти новых уязвимостей и двух старых в рамках июньского дня исправлений.
SAP особенно выделила обновление для уязвимости от апреля 2018 года, содержавшей в себе обновления для Chrome в SAP Business Client. Второй по серьезности стала CVE-2022-27668 с оценкой 8,6 по шкале CVSS. Уязвимость заключается в неправильном контроле доступа, связанного с прокси SAProuter в NetWeaver и ABAP Platform.
“Определенная конфигурация таблицы разрешенных маршрутов позволяет неавторизованному злоумышленнику обойти защиту и выполнить команды администрирования на подключенных к SAPRouter системах.", – поясняет компания Onapsis, специализирующаяся на безопасности бизнес-приложений. Специалисты рекомендуют клиентам как можно скорее применить доступные исправления.
Onapsis также отметила, что SAP устранила опасную уязвимость, появившуюся из-за неправильного контроля доступа в NetWeaver AS Java. Уязвимость имеет оценку 8,2 по оценке CVSS и позволяет злоумышленникам с легкостью взломать систему жертвы. Исправление этой уязвимости было выпущено в прошлом месяце вместе с другими четырьмя уязвимостями.
Еще было выпущено обновление для устранения CVE-2022-31590 с оценкой 7,8 CVSS, позволяющей повышать привилегии в PowerDesigner Proxy 16.7.
Все остальные уязвимости классифицируются как средние или незначительные.
Ладно, не доказали. Но мы работаем над этим