SAP BI

Vulnérabilité sur la CMC SAP BI Platform

Introduction

Une vulnérabilité (référence CVE-2023-28762) concernant la diffusion de jeton de connexion a été détectée en mai. Une personne malveillante disposant des privilèges administrateurs peut récupérer le jeton de connexion d’un autre utilisateur sur le réseau. Pour cela il doit analyser les paquets du réseau pour récupérer le résultat d’une requête faite à la base du CMS. Une fois fait, il aura accès aux données de l’utilisateur et pourra les modifier ainsi que rendre le système partiellement ou totalement indisponible.

Pour que cette vulnérabilité soit exploitée, il est donc nécessaire que l’attaquant récupère dans un premier temps un compte administrateur puis accède à votre réseau.

Lien vers les vulnérabilités : 

https://www.cve.org/CVERecord?id=CVE-2023-28762

Est-ce que cela impacte votre déploiement ?

  • SAP BusinessObjects BI Platform

Versions concernées

  • Pour la vulnérabilité CVE-2023-28762
    • Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1400
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P1100
    • Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03 Patch 300

Détails

L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées. Depuis la détection de ces vulnérabilités, SAP a sorti plusieurs patchs correctifs afin de pallier celles-ci.

Les patchs en question sont le patch 1400 de la version BI 4.2 SP09, le patch 1100 de la version BI 4.3 SP02 et le patch 300 de la version BI 4.3 SP03. Sur ces versions, SAP a masqué les informations contenues dans le résultat de la requête.

Cette vulnérabilité a un base score de 9,1 sur 10.

Nous vous conseillons bien sûr d’appliquer ces correctifs car ils corrigent aussi d’autres vulnérabilités (CVE-2022-39014, CVE-2022-27667, CVE-2022-32244, CVE-2022-31596, CVE-2022-35296) liées à celle-ci, tout particulièrement si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau.

De plus, ces patchs corrigent également d’autres vulnérabilités moins critiques détectées en mai (CVE-2023-30740, CVE-2023-31406, CVE-2023-30741, CVE-2023-28764).

Références

SAP Note :  3307833 – [CVE-2023-28762] Information Disclosure in SAP BusinessObjects Business Intelligence Platform (Central Management Console)

Besoin de formation BusinessObjects
Besoin d'expertise SAP BusinessObjects
Un projet ? Une question ?

Laissez-nous vos coordonnées et nous vous recontactons dans les plus brefs délais !

Articles récents
Évènements à venir
Affiche Webinar SAP Datasphere et RapidViews - 14/05/2024
Newsletter DeciVision

Soyez notifiés de nos derniers articles de blog, de nos prochains webinars et nos actualités !