SAP, Kritik, Yüksek, Orta ve Düşük önem derecelerine sahip 16 güvenlik açığı için yamalar yayınladı. Bu güvenlik açıkları için CVSS puanları 3,7 (Düşük) ile 9,8 (Kritik) arasındadır ve bu da 1 Kritik, 6 Yüksek, 7 Orta ve 1 Düşük önem dereceli güvenlik açığına katkıda bulunur. Güvenlik açığı CVSS puanlarından biri henüz onaylanmadı.
SAP, bu yamaları her ay yama günlerinde yayınladı. Temmuz ayındaki son yamalarında belirtildiği gibi 14 güvenlik açığı yamalandı. Bu ayki güvenlik açıklarının çoğu aşağıdaki gibi ürünlerle ilgili;
- SAP PowerDesigner
- SAP Business One
- SAP BusinessObjects İş Zekası Paketi
- SAP BusinessObjects İş Zekası Platformu
- SAP Mesaj Sunucusu
- SAP NetWeaver Süreç Entegrasyonu
- SAPUI5
- SAP Ticaret
- SAP Tedarikçi İlişkileri Yönetimi
- SAP NetWeaver AS ABAP ve ABAP Platformu
- SAP Ana Bilgisayar Aracısı
- SAP Ticaret Bulutu
Kritik Önem Derecesindeki Güvenlik Açıkları
SAP PowerDesigner (BC-SYB-PD) – CVE-2023-37483
Bu, kimliği doğrulanmamış bir saldırganın proxy aracılığıyla arka uç veritabanına karşı rasgele sorgular yürütmesine izin veren uygunsuz bir erişim denetimi güvenlik açığıdır. Bu güvenlik açığı için CVSS puanı 9.8 (kritik).
Yüksek Derecede Güvenlik Açıkları
SAP PowerDesigner (BC-SYB-PD) – CVE-2023-36923
Bu güvenlik açığı, yerel erişime sahip bir saldırganın uygulama tarafından yürütülebilecek kötü amaçlı bir kitaplık yerleştirmesine olanak tanır ve bu da saldırganın uygulamanın davranışını denetlemesine neden olur. Bu güvenlik açığı için CVSS puanı 7.8 (Yüksek)
SAP Business One (SBO-CRO-SEC) – CVE-2023-39437
Bu, bir saldırganın web sayfasına veya uygulamaya kötü amaçlı kod enjekte etmesine ve bunu istemciye teslim etmesine olanak tanıyan bir Siteler Arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. Bu, uygulamanın Gizliliğini, Bütünlüğünü ve Kullanılabilirliğini etkiler. Bu güvenlik açığı için CVSS puanı 7.6 olarak verilmiştir (Yüksek).
SAP BusinessObjects İş Zekası Paketi (BI-BIP-INS) – CVE-2023-37490
Bu güvenlik açığı, ağ içindeki kimliği doğrulanmış bir saldırganın, yükleme işleminin bir parçası olarak geçici dizinde oluşturulan yürütülebilir bir dosyanın üzerine yazmasına ve CIA üçlüsünün güvenliğinin aşılmasına olanak tanır. Bu güvenlik açığı için CVSS puanı 7.6 olarak verilmiştir (Yüksek).
SAP BusinessObjects İş Zekası Platformu (BI-BIP-CMC) – CVE-2023-37490
Bu, SAP BusinessObjects Business Intelligence Platform’da (CMC) savunmasız bir Commons FileUpload sürümünün kullanılmasından kaynaklanan bir Hizmet Reddi (DoS) güvenlik açığıdır. Bu güvenlik açığı için CVSS Puanı 7,5 olarak verilmiştir (Yüksek) SAP tarafından.
SAP Mesaj Sunucusu (BC-CST-MS) – CVE-2023-37491
Belirli koşullarda, kimliği doğrulanmış bir saldırganın SAP sistemleri ağına girmesine ve verilerin izinsiz okunmasına ve yazılmasına neden olacak şekilde SAP Mesaj sunucusu atlanabilir. Bu güvenlik açığı için CVSS puanı 7.5 (Yüksek).
SAP Business One (SBO-CRO-SEC) – CVE-2023-33993
Bu güvenlik açığı, SQL verilerini okumak veya değiştirmek için ağ üzerinden hazırlanmış sorgular göndererek kimliği doğrulanmış bir saldırgan tarafından kullanılabilir. Bu güvenlik açığı için CVSS Puanı 7.1 olarak verilmiştir (Yüksek)
Orta Derecede Güvenlik Açıkları
| Savunmasız Ürün | özgeçmiş kimliği | Tanım | önem derecesi |
| SAP NetWeaver Süreç Entegrasyonu (BC-XI-IBF-WU) | CVE-2023-37488 | SAP NetWeaver Process Integration’da Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı. | 6.1 |
| SAPUI5 (CA-UI5-COR) | CVE-2023-37484 | SAPUI5 ile birlikte gelen jQuery-UI kitaplığındaki Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açıkları. | 6.1 |
| SAP Ticaret (CEC-SCC-COM-BC-OCC) | CVE-2023-37486 | SAP Commerce’de (OCC API) Bilgi İfşası güvenlik açığı. | 5.9 |
| SAP Tedarikçi İlişkileri Yönetimi (SRM-EBP-ADM-XBP) | CVE-2023-39436 | SAP Tedarikçi İlişkileri Yönetimi’nde Bilgi İfşası güvenlik açığı. | 5.8 |
| SAP Business One (SBO-CRO-SEC) | CVE-2023-37487 | SAP Business One’da (Hizmet Katmanı) Güvenlik Yanlış Yapılandırma güvenlik açığı. | 5.3 |
| SAP NetWeaver AS ABAP ve ABAP Platformu (BC-CCM-CNF-PFL) | CVE-2023-37492 | SAP NetWeaver AS ABAP ve ABAP Platformunda Eksik Yetkilendirme kontrolü. | 4.9 |
| SAP BusinessObjects İş Zekası Platformu (BI-RA-WBI) | CVE-2023-39440 | SAP Tedarikçi İlişkileri Yönetiminde Bilgi İfşası Güvenlik Açığı. | 4.4 |
SAP, bu güvenlik açıkları hakkında ayrıntılı bilgilerden bahseden bir güvenlik danışma belgesi yayınladı. Bu ürünlerin kullanıcılarının güvenlik açıklarını yamalamak için en son sürümlere yükseltmeleri önerilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.