Introduction
Une vulnérabilité (référence CVE-2023-28762) concernant la diffusion de jeton de connexion a été détectée en mai. Une personne malveillante disposant des privilèges administrateurs peut récupérer le jeton de connexion d’un autre utilisateur sur le réseau. Pour cela il doit analyser les paquets du réseau pour récupérer le résultat d’une requête faite à la base du CMS. Une fois fait, il aura accès aux données de l’utilisateur et pourra les modifier ainsi que rendre le système partiellement ou totalement indisponible.
Pour que cette vulnérabilité soit exploitée, il est donc nécessaire que l’attaquant récupère dans un premier temps un compte administrateur puis accède à votre réseau.
Lien vers les vulnérabilités :
https://www.cve.org/CVERecord?id=CVE-2023-28762
Est-ce que cela impacte votre déploiement ?
- SAP BusinessObjects BI Platform
Versions concernées
- Pour la vulnérabilité CVE-2023-28762
- Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1400
- Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P1100
- Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP03 Patch 300
Détails
L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées. Depuis la détection de ces vulnérabilités, SAP a sorti plusieurs patchs correctifs afin de pallier celles-ci.
Les patchs en question sont le patch 1400 de la version BI 4.2 SP09, le patch 1100 de la version BI 4.3 SP02 et le patch 300 de la version BI 4.3 SP03. Sur ces versions, SAP a masqué les informations contenues dans le résultat de la requête.
Cette vulnérabilité a un base score de 9,1 sur 10.
Nous vous conseillons bien sûr d’appliquer ces correctifs car ils corrigent aussi d’autres vulnérabilités (CVE-2022-39014, CVE-2022-27667, CVE-2022-32244, CVE-2022-31596, CVE-2022-35296) liées à celle-ci, tout particulièrement si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau.
De plus, ces patchs corrigent également d’autres vulnérabilités moins critiques détectées en mai (CVE-2023-30740, CVE-2023-31406, CVE-2023-30741, CVE-2023-28764).