Alexander Meier

**Nome do software vulnerável e versões afetadas: SAP NetWeaver AS ABAP (Reconciliation Framework), versões 700 a 75F Descrição: Um módulo de função no Reconciliation Framework do SAP NetWeaver AS ABAP permite que um invasor com privilégios elevados injete código que pode ser executado pela aplicação. Isso pode levar à exclusão de informações críticas e, potencialmente, tornar o sistema SAP completamente indisponível. Recomendações: Para as versões 700 a 75F, considere restringir temporariamente o acesso ao módulo de função vulnerável até que uma correção esteja disponível. Como medida de mitigação, limite os privilégios dos usuários que podem interagir com este módulo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SAP NetWeaver AS ABAP e ABAP Platform, versões 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 **Descrição** O problema está relacionado ao módulo de função `SRM RFC SUBMIT REPORT`, que falha na validação da autorização de um usuário autenticado, permitindo assim que um usuário não autorizado execute relatórios na Plataforma ABAP do SAP NetWeaver. **Recomendações** Para as versões 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, considere desativar o módulo de função `SRM RFC SUBMIT REPORT` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo de função `SRM RFC SUBMIT REPORT` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SAP BW Database Interface (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor com privilégios limitados execute consultas de banco de dados maliciosas, expondo o banco de dados de back-end. Isso ocorre porque o banco de dados executa comandos SQL sem sanitizar adequadamente dados não confiáveis, levando a uma vulnerabilidade de injeção de SQL que pode comprometer totalmente o sistema SAP afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SAP Business Warehouse, versões 700 a 750 e 782 SAP BW/4HANA, versões 100 a 200 **Descrição** A vulnerabilidade permite que um invasor com privilégios limitados injete código usando um módulo de função habilitado para acesso remoto pela rede. Isso pode levar à criação de um relatório ABAP malicioso, que pode ser usado para acessar dados confidenciais, injetar instruções UPDATE maliciosas que poderiam afetar o sistema operacional ou interromper a funcionalidade do sistema SAP, levando potencialmente a uma negação de serviço. **Recomendações** Para as versões 700 a 750 e 782 do SAP Business Warehouse, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para as versões 100 a 200 do SAP BW/4HANA, atualize para uma versão que inclua a correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BW Database Interface (versões afetadas não especificadas) **Descrição** O problema está relacionado ao fato de a BW Database Interface não realizar as verificações de autorização necessárias para um usuário autenticado. Isso resulta em uma escalada de privilégios, permitindo que o usuário leia qualquer tabela do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SAP AS ABAP (SAP Landscape Transformation), versões 2011 1 620 a 2020 SAP S4 HANA (SAP Landscape Transformation), versões 101 a 105 **Descrição** A vulnerabilidade permite que um usuário com privilégios elevados execute um módulo de função RFC cujo acesso deveria ser restrito. Devido à falta de autorização, um invasor pode obter acesso a algumas informações internas confidenciais do sistema SAP vulnerável ou tornar os sistemas SAP vulneráveis completamente indisponíveis. **Recomendações** Para as versões 2011 1 620 a 2020 do SAP AS ABAP (SAP Landscape Transformation), restrinja o acesso ao módulo de função RFC para minimizar o risco de exploração. Para as versões 101 a 105 do SAP S4 HANA (SAP Landscape Transformation), restrinja o acesso ao módulo de função RFC para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.