Introduction
Une vulnérabilité (référence CVE-2022-41203) au niveau du code permettant de changer le format des objets à planifier a été découverte début novembre. En raison d’un manque de vérification dans le processus de sérialisation, il est possible de remplacer l’objet sérialisé par un autre contenant du code malveillant. Cette attaque pourrait fortement compromettre la confidentialité, l’intégrité et la disponibilité du système.
Pour l’utiliser, il est nécessaire que l’attaquant se connecte à l’application avec de faibles privilèges.
Lien vers la vulnérabilité : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41203
Est-ce que cela impacte votre déploiement ?
- SAP BusinessObjects BI Platform
Versions concernées
- Toutes les versions de SAP BusinessObjects BI Platform 4.2 avant la version 4.2 SP09 P1100
- Toutes les versions de SAP BusinessObjects BI Platform 4.3 avant la version 4.3 SP02 P700
Détails
L’ensemble des plateformes SAP BusinessObjects 4.2 et 4.3 sont impactées. Depuis la sortie de cette vulnérabilité, SAP a sorti deux patchs correctifs afin de pallier celle-ci.
Les patchs en question sont le patch 1100 de la version BI 4.2 SP09 et le patch 700 de la version BI 4.3 SP02.
Cette vulnérabilité a un score « Base » CVSS de 9,9 sur 10, si votre plateforme SAP BusinessObjects est accessible depuis l’extérieur de votre réseau, nous vous conseillons fortement de la patcher dans la version indiquée pour empêcher les attaques.
Si vous ne pouvez pas patcher rapidement votre plateforme, il existe une solution de contournement qui consiste à supprimer les fichiers jsp impactés. Cependant, vous ne pourrez plus changer le format du fichier généré lors de la création d’une nouvelle planification/Publication.
