PT-2022-4768 · Sap · Sap S/4Hana
Publicado
2022-07-12
·
Atualizado
2022-07-19
·
CVE-2022-31597
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do SAP S/4HANA S4CORE 101 a 106
Versão do SAP S/4HANA SAPSCORE 127
Descrição
O problema está relacionado à extensão de parceiro de negócios da aplicação para Espanha/Eslováquia no SAP S/4HANA, onde não são realizadas as verificações de autorização necessárias para usuários autenticados com privilégios reduzidos na rede. Isso resulta em uma escalada de privilégios, levando a um baixo impacto na confidencialidade e integridade dos dados. A vulnerabilidade está associada a erros de autorização no componente Application Business Partner Extension, que podem ser explorados por um invasor remoto para elevar seus privilégios.
Recomendações
Para as versões S4CORE 101 a 106 do SAP S/4HANA, considere implementar verificações de autorização adicionais para impedir a escalada de privilégios.
Para a versão SAPSCORE 127 do SAP S/4HANA, aplique os patches de segurança ou atualizações necessários para corrigir os erros de autorização no componente Application Business Partner Extension.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap S/4Hana