Flera kritiska sårbarheter i SAP-produkter

SAP varnar om flera kritiska sårbarheter i sina säkerhetsuppdateringar för februari månad. Åtta sårbarheter har fått maximal CVSS-poäng (10 av 10), de flesta av dessa är kopplade till sårbarheten i Log4j. [1, 2]Bland övriga kritiska sårbarheter kan nämnas CVE-2022-22536, ett problem med felaktigt anrop i NetWeaver, Content Server och Web Dispatches. En angripare kan utnyttja sårbarheten och stjäla en användares session och användardata i klartext. Sårbarheten påverkar alla NetWeaver-baserade Java- eller ABAP-applikationer som kör standardkonfigurationen. [3]Totalt lagas 14 sårbarheter i produkter som SAP NetWeaver, SAP Content Server och SAP Commerce.

Påverkade produkter

För en fullständig lista av alla produkter som lagas, se [1].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022 [2] https://www.cert.se/2021/12/kritisk-sarbarhet-i-apache-log4j [3] https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2022-22536