Во «Вторник Патчей», 11 апреля 2023 года, компания SAP выпустила апрельские обновления безопасности.

SAP исправила две критические ошибки, затрагивающие агент диагностики и платформу BusinessObjects Business Intelligence.

Обновления безопасности SAP за апрель 2023 г. содержат в общей сложности 24 примечания, 19 из которых представляют собой новые уязвимости. Наиболее критическими уязвимостями являются:

— CVE-2023-27267 : отсутствующая проверка подлинности и недостаточная проверка ввода в OSCommand Bridge агента диагностики SAP версии 720 могут быть использованы злоумышленником для выполнения сценариев на подключенных агентах диагностики. Успешная эксплуатация потенциально может привести к полной компрометации системы.
— CVE-2023-28765 : Злоумышленник с базовыми привилегиями в платформе SAP BusinessObjects Business Intelligence (Promotion Management) — версии 420, 430 может использовать эту проблему для доступа к файлу lcmbiar и дальнейшей расшифровки файла. Как только злоумышленник получил доступ к паролям пользователя BI и в зависимости от привилегий пользователя BI, он может выполнять операции, которые могут полностью скомпрометировать приложение.

Администраторам SAP настоятельно рекомендуется установить доступные исправления безопасности как можно скорее.

Для интересующихся: полный список заметок приведен в бюллетене по безопасности.