A SAP documentou vários problemas de extrema gravidade em alguns de seus produtos e alertou sobre o risco de ataques de injeção de comando.
A gigante alemã de software de gestão empresarial divulgou na terça-feira, 12, dez novas notas de segurança e duas atualizadas como parte do Security Patch Day de março, destacando graves falhas em produtos voltados para negócios.
Três das notas são classificadas como "notícias quentes" - a classificação de gravidade mais alta no manual da SAP - e solucionam vulnerabilidades críticas no Chromium (o navegador de código aberto do Google) no Business Client, Build Apps e NetWeaver AS Java.
O mais grave é uma atualização que traz os patches mais recentes do Chrome para o Business Client.
Agora, utilizando a versão 121.0.6167.184 do Chromium, a atualização soluciona 29 falhas de segurança no navegador, incluindo dois bugs de gravidade crítica e 15 problemas de alta gravidade.
A empresa descreveu o segundo bug grave como
CVE-2019-10744
(pontuação de 9.4 no sistema de pontuação comum de vulnerabilidades - CVSS), uma vulnerabilidade crítica na biblioteca de utilitários lodash em Build Apps.
Os aplicativos desenvolvidos usando uma versão defeituosa da ferramenta permitem que invasores executem comandos não autorizados no sistema, de acordo com um alerta da empresa de segurança de aplicativos Onapsis.
O Build Apps versão 4.9.145 corrige a falha e os aplicativos devem ser reconstruídos usando essa ou uma versão mais recente da ferramenta de programação.
A terceira atualização divulgada no Security Patch Day da SAP deste mês trata do
CVE-2024-22127
(pontuação de 9.1 no CVSS), uma falha de injeção de código no plugin Administrator Log Viewer do NetWeaver AS Java.
Uma lista incompleta de tipos de arquivos proibidos para upload permitiria que um invasor carregasse arquivos arbitrários, o que pode resultar em injeção de comando.
Na terça-feira, a SAP também divulgou três notas de alta prioridade de segurança, incluindo uma atualização de uma nota de agosto de 2023 que trata de uma falha de autenticação inadequada no Commerce Cloud que poderia permitir que invasores se autenticassem sem uma senha forte.
As seis notas de segurança restantes tratam de vulnerabilidades de gravidade média no NetWeaver, no Fiori Front End Server e na plataforma ABAP.
A empresa não menciona a exploração de nenhuma dessas vulnerabilidades, mas é sabido que operadores de ameaças visam falhas em aplicativos SAP para os quais foram disponibilizados patches.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...