XSS, Log Enjeksiyonu ve Diğer Güvenlik Açıkları için SAP Yamaları


SAP Ekim Yamaları

SAP, Ekim 2023 Yama Günü için güvenlik yamalarını yayınladı; burada yeni Güvenlik Notları ve daha önce yayımlanan Güvenlik Notlarına yönelik 2 güncelleme yayınlandı.

Siteler arası komut dosyası çalıştırma (XSS), Eksik XML doğrulama, Sunucu Tarafı İstek Sahteciliği, Eksik Yetkilendirme kontrolü, Günlük ekleme ve Bilgilerin ifşa edilmesi güvenlik açıkları dahil olmak üzere yamanın bir parçası olarak düzeltilen 7 güvenlik açığı vardı.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Keşfedilen Güvenlik Açıkları

CVE-2023-42474: SAP BusinessObjects Web Intelligence’da Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı

Bu güvenlik açığı, SAP BusinessObjects Web Intelligence’da, bir tehdit aktörünün kurbana kötü amaçlı bir bağlantı göndermesine ve hassas bilgileri almasına olanak tanıyan güvenlik açığı bulunan bir URL parametresi nedeniyle mevcuttu. Bu güvenlik açığının ciddiyeti 6,8 (Orta).

CVE-2023-40310: SAP PowerDesigner Client’ta eksik XML Doğrulama güvenlik açığı (BPMN2 içe aktarma)

Bu güvenlik açığı, güvenilmeyen bir kaynaktan içe aktarılan BPMN2 XML belgelerinin yetersiz doğrulanması nedeniyle ortaya çıktı ve bu da BPMN2 dosyasındaki harici varlıkların URL’lerine erişilmesine neden oldu. Bu güvenlik açığının önem derecesi 6,5 (Orta).

CVE-2023-42477: SAP NetWeaver AS Java’da (GRMG Heartbeat uygulaması) Sunucu Tarafı İstek Sahteciliği

Bu güvenlik açığı, bir tehdit aktörünün güvenlik açığı bulunan bir web uygulamasından hazırlanmış bir istek göndermesine olanak tanıyarak uygulamanın gizliliği ve bütünlüğü üzerinde sınırlı bir etkiye neden olabilir. Bu güvenlik açığının önem derecesi 6,5 (Orta).

CVE-2023-42473: S/4HANA’da Eksik Yetki Kontrolü (Stopaj Vergisi Öğelerini Yönetme)

Bu güvenlik açığı, kimliği doğrulanmış bir kullanıcı için yetkilendirme kontrollerinin yapılmaması nedeniyle ortaya çıkar ve bu da uygulamadaki ayrıcalıkların yükselmesine yol açar. Bu güvenlik açığının ciddiyeti 5,4 (Orta).

CVE-2023-31405: Java için SAP NetWeaver AS’de (Günlük Görüntüleyici) Günlük Ekleme güvenlik açığı

Bu güvenlik açığı daha önce Temmuz 2023 SAP güvenlik düzeltme ekinde giderilmişti. Ancak yeni sürüm notları kapsamında güvenlik açığına yeni bir güncelleme yapıldı. Bu güvenlik açığının ciddiyeti 5,3 (Orta).

CVE-2023-41365: SAP Business One’da (B1i) Bilgi İfşası güvenlik açığı

Bu güvenlik açığı, kimliği doğrulanmış bir tehdit aktörünün bir XXE enjeksiyonu gerçekleştirmek için hata mesajı yığın izinin ayrıntılarını çıkarmasına olanak tanır ve bu da bilgilerin açığa çıkmasına neden olur. Bu güvenlik açığının ciddiyeti 4,3 (Orta).

CVE-2023-42475: Yasal Raporlamada Bilginin İfşa Edilmesi Güvenlik Açığı

Bu güvenlik açığı, düşük ayrıcalıklı bir saldırganın sunucu dosyalarını okumasına olanak verebilecek güvenlik açığı bulunan bir dosya depolama konumundan kaynaklanıyordu. Bu güvenlik açığının ciddiyeti 4,3 (Orta).

Bu güvenlik sürümünün bir parçası olarak yama uygulanan bu güvenlik açıklarından birden fazla SAP ürünü etkilendi. Etkilenen ürünler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir sürüm notu SAP tarafından yayımlandı.

Bu güvenlik açıklarından yararlanılmasını önlemek için ürün kullanıcılarının ürünün en son sürümlerine yükseltmeleri önerilir.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link