Vulnérabilité des contrôles d’entrées – SAP BI Platform

Introduction

Une vulnérabilité (référence CVE-2022-22546) du code HTML permettant d’afficher le résumé des contrôles d’entrées a été découverte le 04/01/2022. En raison d’un encodage HTML incorrect, il est possible d’exécuter une attaque XSS dans l’application SAP Business Objects Web intelligence. Pour cela, il est nécessaire que l’utilisateur se connecte à l’application Web Intelligence avant d’exécuter son code.

Lien vers la vulnérabilité : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22546

Est-ce que cela impacte votre déploiement ?

  • SAP BusinessObjects BI Platform

Versions concernées

  • Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P600

Détails

L’ensemble des plateformes SAP BusinessObjects 4.2 sont impactées. Depuis la sortie de cette vulnérabilité, SAP a sorti un patch correctif afin de pallier celle-ci.

Le patch en question est le patch 600 de la version BI 4.2 SP09.

Si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau, nous vous conseillons de la patcher dans la version indiquée pour empêcher les attaques.

Références



Alerte Blog DeciVision Big

Laisser un commentaire