SAP セキュリティパッチデー 2024 年 4 月

このページでは、SAP 製品で発見された脆弱性を改善するセキュリティノートに関する情報を共有しています。SAP ランドスケープを保護するために、優先的にパッチを適用することを強くお奨めします。

2024 年 4 月 9 日に、SAP セキュリティパッチデーに 10 の新しいセキュリティノートがリリースされました。さらに、以前にリリースされたセキュリティノートには 2 つの更新があります。

Note#TitleSeverityCVSS
3434839

[CVE-2024-27899] Security misconfiguration vulnerability in SAP NetWeaver AS Java User Management Engine

Product - SAP NetWeaver AS Java User Management Engine, Versions - SERVERCORE 7.50, J2EE-APPS 7.50, UMEADMIN 7.50

High8.8
3421384

[CVE-2024-25646] Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence

Product - SAP BusinessObjects Web Intelligence, Versions - 4.2, 4.3

High7.7
3438234

[CVE-2024-27901] Directory Traversal vulnerability in SAP Asset Accounting

Product- SAP Asset Accounting, Versions - SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618, SAP_FIN700

High7.2
3442741

Stack overflow vulnerability on the component images of SAP Integration Suite (EDGE INTEGRATION CELL)

Product - SAP Edge Integration Cell, Versions older than 8.13.5

Medium6.8
3359778

[CVE-2024-30218] Denial of service (DOS) vulnerability in SAP NetWeaver AS ABAP and ABAP Platform

Product - SAP NetWeaver AS ABAP and ABAP Platform, Versions - KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.93

Medium6.5
3442378

[CVE-2024-28167] Missing Authorization check in SAP Group Reporting Data Collection (Enter Package Data)

Product - SAP Group Reporting Data Collection (Enter Package Data), Versions - S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108, SAP_GRDC_CLOUD 1.0.0

Medium6.5
3164677

Update to Security Note released on May 2022 Patch Day:

[CVE-2022-29613] Information Disclosure vulnerability in SAP Employee Self Service(Fiori My Leave Request) 
Product - SAP Employee Self Service (Fiori My Leave Request), Version - 605

Medium6.5
3156972

Update to Security Note released on August 2023 Patch Day:

[CVE-2023-40306] URL Redirection vulnerability in SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) 
Product - SAP S/4HANA (Manage Catalog Items and Cross-Catalog search), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106

Medium6.1
3425188

[CVE-2024-27898] Server-Side Request Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear) 

Product - SAP NetWeaver, Version - 7.50

Medium5.3
3421453

[Multiple CVEs] Cross-Site Scripting (XSS) vulnerabilities in SAP Business Connector

CVEs - CVE-2024-30214, CVE-2024-30215 
Product - SAP Business Connector, Version - 4.8

Medium4.8
3427178

[CVE-2024-30216] Missing Authorization check in SAP S/4 HANA (Cash Management) 

Product – SAP S/4 HANA (Cash Management), Versions – S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108

Medium4.3
3430173

[CVE-2024-30217] Missing Authorization check in SAP S/4 HANA (Cash Management) 

Product - SAP S/4 HANA (Cash Management), Versions – S4CORE 106, S4CORE 107, S4CORE 108

Medium4.3

今月のセキュリティパッチを提供してきたセキュリティ研究者や調査会社の詳細については、こちらをご覧ください。

過去のアーカイブブログは、こちらからご覧いただけます。

この投稿に関するコメントまたはフィードバックがある場合は、secure@sap.com 宛にご連絡ください。

SAP は、信頼できる製品とクラウドサービスの提供に尽力しています。安全な運用とデータの完全性を確保するには、安全な設定が不可欠です。そのため、SAP ポートフォリオに最適なセキュリティを設定できるように、この文書に統合されたセキュリティ推奨事項が文書化されています。