Kritické zraniteľnosti v SAP produktoch – ihneď aktualizujte

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickými zraniteľnosťami v produktoch spoločnosti SAP.

Spoločnosť SAP patrí medzi najväčších výrobcov softvérov vo svete. Jej produkty sú zamerané najmä na riadenie vzťahov so zákazníkmi, manažment dodávateľského reťazca, personalistiku, správu výdavkov a iné oblasti. Softvérové riešenia od spoločnosti SAP sú celosvetovo používané nie len v súkromnej, ale aj verejnej sfére.

Dňa 10. 08. 2021 spoločnosť SAP vydala balík aktualizácií v rámci SAP Security Patch Day. Týmto balíkom sa opravuje celkovo 18 zraniteľností v rôznych produktoch spoločnosti SAP, pričom dve z nich majú CVSS 9.9 a jedna CVSS 9.1. 

Zraniteľnosť, označená ako CVE-2021-33698 (CVSS 9.9) umožnuje útočníkovi v produkte SAP Bussiness One neobmedzené nahrávanie akýchkoľvek súborov na server, teda aj škodlivého kódu.

V produkte SAP NetWeaver Development Infrastructure sa nachádza zraniteľnosť SSRF (Server-side request forgery), ktorá je označená ako CVE-2021-33690 (CVSS 9.9) a produkt DMIS Mobile Plug-In obsahuje zraniteľnosť SQL injection, označenú ako CVE-2021-33701 (CVSS 9.1). Uvedené zraniteľnosti umožňujú vzdialenému útočníkovi vykonávať modifikáciu obsahu databázy alebo exfiltrovať údaje.

Kompletný zoznam zraniteľností a zasiahnutých produktov nájdete na oficiálnej adrese SAP Security Patch Day z augusta 2021.

Národné centrum kybernetickej bezpečnosti SK-CERT odporúča všetkým správcom SAP produktov a systémov, aby bezodkladne aktualizovali všetky zasiahnuté produkty a systémy na najnovšiu verziu. 

« Späť na zoznam