A SAP anunciou esta semana o lançamento de várias notas de segurança como parte do Security Patch Day de janeiro de 2023, incluindo sete notas de ‘notícias quentes’ que abordam vulnerabilidades de gravidade crítica.

Quatro das notas de segurança classificadas como ‘notícias quentes’ – a classificação de gravidade mais alta nos livros da SAP – são notas novas abordando vulnerabilidades no Business Planning and Consolidation MS, BusinessObjects e NetWeaver, enquanto as três restantes são atualizações de notas lançadas em novembro e dezembro de 2022.

A mais grave das novas notas resolve um bug de injeção de SQL no Business Planning and Consolidation MS (CVE-2023-0016), e uma falha de injeção de código na plataforma BusinessObjects Business Intelligence (CVE-2023-0022).

A vulnerabilidade de injeção de código pode ser explorada na rede, com impacto na confidencialidade, integridade e disponibilidade do aplicativo. A nota contém um patch e uma solução alternativa para os clientes que não podem fornecer esse patch imediatamente.

No entanto, essa solução alternativa só pode ser usada como uma solução temporária, pois remove, interrompe ou desativa o serviço afetado.