▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

È il SAP Security Patch Day

Per il suo SAP Security Patch Day di novembre 2023, la software house tedesca ha segnalato sei alert, di cui due Security Note con alta priorità.

Vulnerabilità

Per il suo SAP Security Patch Day di novembre 2023, la software house tedesca ha segnalato sei alert, di cui due Security Note con alta priorità. La novità "seria" è la vulnerabilità catalogata come CVE-2023-31403: Improper Access Control vulnerability in SAP Business One product installation. Questa vulnerabilità ha uno scoring di CVSS di 9,6 su 10.

Il problema connesso a questa vulnerabilità sta nel fatto che l'installazione di SAP Business One 10.0 non esegue controlli di autenticazione e autorizzazione adeguati per la cartella condivisa SMB. Di conseguenza, qualsiasi utente malintenzionato può leggere e scrivere sulla cartella condivisa. Inoltre, i file contenuti nella cartella possono essere eseguiti o utilizzati dal processo di installazione, con un impatto considerevole su riservatezza, integrità e disponibilità.

Elevata gravità - 9,8 su 10 - anche per la vulnerabilità CVE-2023-40309: Missing Authorization check in SAP CommonCryptoLib, che però non è nuova ma è stata semplicemente aggiornata rispetto alla prima segnalazione, dello scorso settembre.

Qui il problema è che SAP CommonCryptoLib non esegue i controlli di autenticazione necessari, il che può comportare controlli di autorizzazione mancanti o errati per un utente autenticato, con conseguente escalation dei privilegi. A seconda dell'applicazione e del livello di privilegi acquisiti, un utente malintenzionato potrebbe abusare di funzionalità riservate a un particolare gruppo di utenti, nonché leggere, modificare o eliminare dati riservati.

Le altre quattro segnalazioni hanno indici di gravità medi. Due sono nuove Security Note, due sono aggiornamenti. Le novità riguardano le vulnerabilità CVE-2023-41366 e CVE-2023-42480 (scoring 5,3 per entrambe).

La prima (Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform) è legata al fatto che, in determinate condizioni, alcune versioni di SAP NetWeaver Application Server ABAP consentono a un utente non autenticato di accedere a dati per cui non ha privilegi, a causa della mancanza di restrizioni applicate. Questo può comportare un basso impatto sulla riservatezza dei dati, ma nessun impatto sull'integrità e la disponibilità dell'applicazione.

Per la seconda vulnerabilità (Information Disclosure in NetWeaver AS Java Logon), un utente non autenticato in NetWeaver AS Java Logon 7.50 può "forzare" il login per identificarsi con ID utente legittimi. Anche in questo caso ci sono rischi per la privacy dei dati ma non per l'integrità o la disponibilità dell'applicazione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter