Per il suo SAP Security Patch Day di novembre 2023, la software house tedesca ha segnalato sei alert, di cui due Security Note con alta priorità. La novità "seria" è la vulnerabilità catalogata come CVE-2023-31403: Improper Access Control vulnerability in SAP Business One product installation. Questa vulnerabilità ha uno scoring di CVSS di 9,6 su 10.

Il problema connesso a questa vulnerabilità sta nel fatto che l'installazione di SAP Business One 10.0 non esegue controlli di autenticazione e autorizzazione adeguati per la cartella condivisa SMB. Di conseguenza, qualsiasi utente malintenzionato può leggere e scrivere sulla cartella condivisa. Inoltre, i file contenuti nella cartella possono essere eseguiti o utilizzati dal processo di installazione, con un impatto considerevole su riservatezza, integrità e disponibilità.

Elevata gravità - 9,8 su 10 - anche per la vulnerabilità CVE-2023-40309: Missing Authorization check in SAP CommonCryptoLib, che però non è nuova ma è stata semplicemente aggiornata rispetto alla prima segnalazione, dello scorso settembre.

Qui il problema è che SAP CommonCryptoLib non esegue i controlli di autenticazione necessari, il che può comportare controlli di autorizzazione mancanti o errati per un utente autenticato, con conseguente escalation dei privilegi. A seconda dell'applicazione e del livello di privilegi acquisiti, un utente malintenzionato potrebbe abusare di funzionalità riservate a un particolare gruppo di utenti, nonché leggere, modificare o eliminare dati riservati.

Le altre quattro segnalazioni hanno indici di gravità medi. Due sono nuove Security Note, due sono aggiornamenti. Le novità riguardano le vulnerabilità CVE-2023-41366 e CVE-2023-42480 (scoring 5,3 per entrambe).

La prima (Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform) è legata al fatto che, in determinate condizioni, alcune versioni di SAP NetWeaver Application Server ABAP consentono a un utente non autenticato di accedere a dati per cui non ha privilegi, a causa della mancanza di restrizioni applicate. Questo può comportare un basso impatto sulla riservatezza dei dati, ma nessun impatto sull'integrità e la disponibilità dell'applicazione.

Per la seconda vulnerabilità (Information Disclosure in NetWeaver AS Java Logon), un utente non autenticato in NetWeaver AS Java Logon 7.50 può "forzare" il login per identificarsi con ID utente legittimi. Anche in questo caso ci sono rischi per la privacy dei dati ma non per l'integrità o la disponibilità dell'applicazione.