SAP устранил уязвимости высокой степени опасности в своих продуктах с помощью обновлений безопасности
SAP (Systems, Applications, and Products in Data Processing) — это международная компания, являющаяся лидером в области корпоративного программного обеспечения, которая предлагает интегрированные решения для автоматизации и управления бизнес-процессами. SAP была основана в 1972 году в Германии и в настоящее время является одним из крупнейших производителей корпоративного программного обеспечения в мире.
В июле 2024 года SAP выпустила обновления безопасности, устраняющие 18 уязвимостей в своих продуктах, среди которых имеются две критически важные проблемы, позволяющие злоумышленникам получить несанкционированный доступ к конфиденциальным данным и системам.
Одной из наиболее значительных уязвимостей в этом обновлении является CVE-2024-39592. Эта проблема затрагивает инструмент SAP Product Design Cost Estimating (PDCE). Уязвимость, получившая оценку 7,7 по CVSS, возникает из-за отсутствия проверки авторизации, что может позволить злоумышленникам просматривать данные общих таблиц и подвергать конфиденциальную информацию риску.
Еще одной уязвимостью высокой приоритетности является CVE-2024-39597, обнаруженная в SAP Commerce, с рейтингом 7,2 по CVSS. Из-за неправильной проверки авторизации злоумышленники могут воспользоваться функцией восстановления пароля, чтобы получить доступ к неправильно настроенным сайтам без одобрения со стороны продавца.
Июльское обновление также включает исправления для 15 уязвимостей средней степени опасности, затрагивающих различные продукты SAP, такие как Landscape Management, Document Builder, NetWeaver, CRM, Business Warehouse, S/4HANA, Business Workflow, GUI для Windows, Transportation Management и Enable Now.
Эти уязвимости включают следующие проблемы:
- раскрытие информации,
- возможность неограниченной загрузки файлов,
- отсутствие проверки авторизации,
- межсайтовый скриптинг (XSS),
- уязвимости подделки запросов со стороны сервера (SSRF).
SAP пока не сообщала о случаях активной эксплуатации этих уязвимостей, но настоятельно рекомендует пользователям как можно скорее установить обновления. Прошлые инциденты показали, что злоумышленники часто нацеливаются на известные уязвимости SAP, даже после выхода исправлений. Июльское обновление подчеркивает важность своевременного обновления безопасности корпоративного программного обеспечения.
Организациям, использующим продукты SAP, следует в первую очередь установить эти обновления, чтобы снизить потенциальные риски для своих систем и данных.