SAP corrige vulnerabilidades críticas de injeção de comando
14 de Março de 2024

A SAP documentou vários problemas de extrema gravidade em alguns de seus produtos e alertou sobre o risco de ataques de injeção de comando.

A gigante alemã de software de gestão empresarial divulgou na terça-feira, 12, dez novas notas de segurança e duas atualizadas como parte do Security Patch Day de março, destacando graves falhas em produtos voltados para negócios.

Três das notas são classificadas como "notícias quentes" - a classificação de gravidade mais alta no manual da SAP - e solucionam vulnerabilidades críticas no Chromium (o navegador de código aberto do Google) no Business Client, Build Apps e NetWeaver AS Java.

O mais grave é uma atualização que traz os patches mais recentes do Chrome para o Business Client.

Agora, utilizando a versão 121.0.6167.184 do Chromium, a atualização soluciona 29 falhas de segurança no navegador, incluindo dois bugs de gravidade crítica e 15 problemas de alta gravidade.

A empresa descreveu o segundo bug grave como CVE-2019-10744 (pontuação de 9.4 no sistema de pontuação comum de vulnerabilidades - CVSS), uma vulnerabilidade crítica na biblioteca de utilitários lodash em Build Apps.

Os aplicativos desenvolvidos usando uma versão defeituosa da ferramenta permitem que invasores executem comandos não autorizados no sistema, de acordo com um alerta da empresa de segurança de aplicativos Onapsis.

O Build Apps versão 4.9.145 corrige a falha e os aplicativos devem ser reconstruídos usando essa ou uma versão mais recente da ferramenta de programação.

A terceira atualização divulgada no Security Patch Day da SAP deste mês trata do CVE-2024-22127 (pontuação de 9.1 no CVSS), uma falha de injeção de código no plugin Administrator Log Viewer do NetWeaver AS Java.

Uma lista incompleta de tipos de arquivos proibidos para upload permitiria que um invasor carregasse arquivos arbitrários, o que pode resultar em injeção de comando.

Na terça-feira, a SAP também divulgou três notas de alta prioridade de segurança, incluindo uma atualização de uma nota de agosto de 2023 que trata de uma falha de autenticação inadequada no Commerce Cloud que poderia permitir que invasores se autenticassem sem uma senha forte.

As seis notas de segurança restantes tratam de vulnerabilidades de gravidade média no NetWeaver, no Fiori Front End Server e na plataforma ABAP.

A empresa não menciona a exploração de nenhuma dessas vulnerabilidades, mas é sabido que operadores de ameaças visam falhas em aplicativos SAP para os quais foram disponibilizados patches.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...