SAP セキュリティパッチデー 2024 年 10 月

このページでは、SAP 製品で発見された脆弱性を改善するセキュリティノートに関する情報を共有しています。SAP は、Support Portal にアクセスし SAP ランドスケープを保護するために優先的にパッチを適用することを強くお奨めします。

2024 年 10 月 8 日に、SAP セキュリティパッチデーに 6 の新しいセキュリティノートがリリースされました。さらに、以前にリリースされたセキュリティノートには 7 つの更新があります。

Note#TitlePriorityCVSS 
3479478

Update to Security Note released on August 2024 Patch Day:
[CVE-2024-41730] Missing Authentication check in SAP BusinessObjects Business Intelligence Platform

Product - SAP BusinessObjects Business Intelligence Platform, Versions - ENTERPRISE 420, 430, 440

Critical9.8
3523541[CVE-2022-23302] Multiple vulnerabilities in SAP Enterprise Project Connection
Related CVEs - CVE-2024-22259, CVE-2024-38809, CVE-2024-38808 
Product - SAP Enterprise Project Connection, Version - 3.0
High8.0
3478615[CVE-2024-37179] Insecure File Operations vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence)
Product - SAP BusinessObjects Business Intelligence Platform (Web Intelligence), Version - ENTERPRISE 420, 430, 2025, ENTERPRISECLIENTTOOLS 420, 430, 2025
High7.7
3483344Update to Security Note released on July 2024 Patch Day:
[CVE-2024-39592] Missing Authorization check in SAP PDCE
Product- SAP PDCE, Versions - S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
High7.7
3495876Update to Security Note released on August 2024 Patch Day:
[Multiple CVEs] Multiple vulnerabilities in SAP Replication Server (FOSS)

CVEs - CVE-2023-0215, CVE-2022-0778 , CVE-2023-0286
Product- SAP Replication Server, Versions – 16.0.3, 16.0.4
Medium6.5
3477359Update to Security Note released on September 2024 Patch Day
[CVE-2024-45283] Information disclosure vulnerability in SAP NetWeaver AS for Java (Destination Service)
Product - SAP NetWeaver AS for Java (Destination Service), 
Versions - 7.50
Medium6.0
3507545[CVE-2024-45278] Cross-Site Scripting (XSS) vulnerability in SAP Commerce Backoffice
Product - SAP Commerce Backoffice, Versions - HY_COM 2205, COM_CLOUD 2211
Medium5.4
3503462[CVE-2024-47594] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (KMC)
Product - SAP NetWeaver Enterprise Portal (KMC), Version - KMC-BC 7.5
Medium5.4
3520100[CVE-2024-45277] Prototype Pollution vulnerability in SAP HANA Client 
Product - SAP HANA Client, Version - HDB_CLIENT 2.0
Medium4.3
3251893[CVE-2024-45282] HTTP Verb Tampering in SAP S/4 HANA(Manage Bank Statements) 
Product - SAP S/4 HANA (Manage Bank Statements), Versions – S4CORE, 102, 103, 104, 105, 106, 107
Medium4.3
3481588Update to Security Note released on September 2024 Patch Day:
[CVE-2024-41729] Information Disclosure vulnerability in the SAP NetWeaver BW (BEx Analyzer)
Product- SAP NetWeaver BW (BEx Analyzer), Versions – DW4CORE 200, DW4CORE 300, DW4CORE 400, SAP_BW 700, SAP_BW 701, SAP_BW 702, SAP_BW 731, SAP_BW 740, SAP_BW 750, SAP_BW 751, SAP_BW 752, SAP_BW 753, SAP_BW 754, SAP_BW 755, SAP_BW 756, SAP_BW 757, SAP_BW 758
Medium4.3
3479293Update to Security Note released on August 2024 Patch Day:
[CVE-2024-42373] Missing Authorization Check in SAP Student Life Cycle Management (SLcM) 
Product - SAP Student Life Cycle Management (SLcM), Versions – IS-PS-CA 617, 618, 802, 803, 804, 805, 806, 807, 808
Medium4.3
3454858Update to Security Note released on July 2024 Patch Day:
[CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform 
Product - SAP NetWeaver Application Server for ABAP and ABAP Platform, 
Versions - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
Medium4.1

今月のセキュリティパッチを提供してきたセキュリティ研究者や調査会社の詳細については、こちらをご覧ください。

過去のアーカイブブログは、こちらからご覧いただけます。

このページに関するコメントまたはフィードバックがある場合は secure@sap.com 宛にご連絡ください。(お問い合わせは英語でお願いいたします。)

SAP は、信頼できる製品とクラウドサービスの提供に尽力しています。安全な運用とデータの完全性を確保するには、安全な設定が不可欠です。そのため、SAP ポートフォリオに最適なセキュリティを設定できるように、この文書に統合されたセキュリティ推奨事項が文書化されています。