Defecțiunea critică (HotNews) din PowerDesigner, identificată cu numărul CVE-2023-37483, este o problemă de control de acces necorespunzător care poate fi exploatată de un atacator neautentificat pentru a efectua interogări arbitrare asupra bazei de date backend, conform firmei de securitate a aplicațiilor de afaceri Onapsis.
SAP a informat, de asemenea, clienții cu privire la un patch pentru CVE-2023-36923, o vulnerabilitate de injectare de cod cu gravitate ridicată în PowerDesigner.
Vulnerabilitatea de injectare de cod remediată are un scor CVSS de 7,8 și permite unui atacator cu acces local la sistem să plaseze o bibliotecă malițioasă care poate fi executată de aplicație. După o exploatare reușită, atacatorii pot controla comportamentul aplicației.
Acest lucru afectează doar clienții care utilizează un set de SAP SQL Analyzer pentru PowerDesigner 17 și SAP PowerDesigner 16.7 SP06 PL03.
SAP a evidențiat, de asemenea, CVE-2023-37490, o defecțiune de preluare binară în BusinessObjects Business Intelligence Suite care „permite atacatorilor să compromită integritatea și confidențialitatea sistemului”, precum și CVE-2023-39437, o vulnerabilitate XSS în SAP Business One.
Au fost abordate, de asemenea, probleme de securitate în S/4HANA, NetWeaver AS ABAP, Message Server, Host Agent, Netweaver Process Integration, Commerce and Commerce Cloud, SAP Supplier Relationship Management și ECC.
Vulnerabilitățile produselor SAP au fost cunoscute să fie exploatate de actorii de amenințare, motiv pentru care este important ca organizațiile să revizuiască cele mai recente patch-uri și să acționeze în consecință.