SAP Security Patch Day (AL04/240709/CSIRT-ITA)

Synthèse

SAP publie en juillet le Security Patch Day qui corrige 16 nouvelles vulnérabilités dans ses produits, dont 2 de gravité « élevée ».

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : MOYEN/JAUNE (63,71/100)1.

Typologie

• Privilege Escalation
• Information Disclosure
• Security Restrictions Bypass

Produits et versions concernés

SAP

• PDCE, version-S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
• Commerce, version – HY_COM 2205, COM_CLOUD 2211

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité rapporté dans la section Références.

Identificateurs de vulnérabilité uniques

Vous trouverez ci-dessous les seuls CVE relatifs aux vulnérabilités de gravité « élevée » :

CVE-2024-39592

CVE-2024-39597

Références

https://support.sap.com/content/dam/support/en_us/library/ssp/my-support/knowledge-base/security-notes-news/2024%2007%20Patch%20Day%20Blog%20V1.pdf

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.