SAP corrige des bogues critiques permettant une compromission complète du système

Deux vulnérabilités critiques

Parmi les deux vulnérabilités critiques corrigées lors du patch, la plus grave est une faille de contournement d’authentification (CVE-2024-41730) avec un score CVSS de 9,8/10 affectant la plateforme de business intelligence BusinessObjects de SAP, tandis que l’autre est une vulnérabilité de falsification de requête côté serveur (SSRF) dans les applications créées avec SAP Build Apps.

CVE-2024-41730, tel que décrit par SAP, provient d’un contrôle d’authentification manquant dans la plateforme de business intelligence SAP BusinessObjects. « Dans SAP BusinessObjects Business Intelligence Platform, si l’authentification unique est activée sur l’authentification d’entreprise, un utilisateur non autorisé peut obtenir un jeton de connexion à l’aide d’un point de terminaison REST », a déclaré le fournisseur ERP dans un avis de sécurité.

L’attaquant peut entièrement compromettre le système, ce qui aura un impact important sur la confidentialité, l’intégrité et la disponibilité, a ajouté SAP.