보안 권고문

SAP 제품군 2024년 2월 정기 보안 업데이트 권고

등록일: 2024년 2월 19일

개요

SAP에서는 공급한 제품의 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.

대상 제품

CVE-2024-22131

SAP ABA (Application Basis) 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I 버전

CVE-2024-22126

SAP_SE SAP NetWeaver AS Java (User Admin Application) 7.50 버전

CVE-2024-24743

SAP_SE SAP NetWeaver AS Java (Guided Procedures) 7.50 버전

CVE-2024-22130

SAP_SE SAP CRM WebClient UI S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, WEBCUIF 700, WEBCUIF 701, WEBCUIF 730, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 801 버전

CVE-2024-22132

SAP_SE SAP IDES Systems의 모든 버전

CVE-2024-25642

SAP_SE SAP Cloud Connector 2.0 버전

CVE-2023-49580

SAP_SE SAP GUI for Windows 및 SAP GUI for Java SAP_BASIS 755, 756, 757, 758 버전

CVE-2024-24739

SAP_SE SAP BAM (Bank Account Management) SAP_FIN 618, SAP_FIN 730, S4CORE 100, 101 버전

CVE-2024-22129

SAP_SE SAP Companion 3.1.38 미만의 버전

CVE-2024-24740

SAP_SE SAP NetWeaver Application Server ABAP (SAP Kernel) KERNEL 7.53, 7.54, 7.77, 7.85, 7.89, 7.93, 7.94
SAP_SE SAP NetWeaver Application Server ABAP (SAP Kernel) KRNL64UC 7.53

CVE-2024-22128

SAP_SE SAP NetWeaver Business Client for HTML SAP_UI 754, 755, 756, 757, 758
SAP_SE SAP NetWeaver Business Client for HTML SAP_BASIS 700, 701, 702, 731

CVE-2024-25643

SAP_SE SAP Fiori app (My Overtime Requests) 605 버전

CVE-2024-24741

SAP_SE SAP Master Data Governance Material 618, 619, 620, 621, 622, 800, 801, 803, 804

CVE-2024-24742

SAP_SE SAP CRM (WebClient UI) S4FND 102, 103, 104, 105, 106
SAP_SE SAP CRM (WebClient UI) WEBCUIF 701, 731, 746, 747, 748, 800, 801

CVE-2023-49058

SAP_SE SAP Master Data Governance MDG_FND 731, 732, 746, 747, 748, 749, 752, 800. 802, 803, 804, 805, 806, 807, 808
SAP_SE SAP Master Data Governance SAP_BS_FND 702

해결된 취약점

SAP ABA에서 발생하는 코드 삽입 취약점 (CVE-2024-22131, CVSS 9.1)
SAP NetWeaver AS Java(사용자 관리 애플리케이션)에서 발생하는 교차 사이트 스크립팅 취약점 (CVE-2024-22126, CVSS 8.8)
SAP NetWeaver AS Java에서 발생하는 XXE 취약점 (CVE-2024-24743, CVSS 8.6)
SAP에서 발생하는 CRM WebClient UI의 XSS 취약점 (CVE-2024-22130, CVSS 7.6)
SAP IDES 시스템에서 발생하는코드 삽입 취약점 (CVE-2024-22132, CVSS 7.4)
SAP Cloud Connector에서 발생하는 부적절한 인증서 유효성 검사로 인한 중요 정보 액세스 취약점 (CVE-2024-25642, CVSS 7.4)
Windows용 SAP GUI 및 Java용 SAP GUI에서 발생하는 정보 공개 취약점 (CVE-2023-49580, CVSS 7.3)
SAP BAM(은행 계좌 관리)에서 발생하는 권한 확인 누락 취약점 (CVE-2024-24739, CVSS 6.3)
SAP Companion에서 발생하는 XSS(교차 사이트 스크립팅) 취약점 (CVE-2024-22129, CVSS 5.4)
SAP NetWeaver Application Server ABAP(SAP 커널)에서 발생하는 정보 유출 취약점 (CVE-2024-24740, CVSS 5.3)
HTML용 SAP NetWeaver Business Client에서 발생하는 XSS(교차 사이트 스크립팅) 취약점 (CVE-2024-22128, CVSS 4.7)
SAP Fiori 앱에서 인증된 사용자에 대한 권한 부여 검사 미수행으로 인해 발생하는 권한 상승 취약점 (CVE-2024-25643, CVSS 4.3)
SAP Master Data Governance for Material Data에서 인증된 사용자에 대한 권한 부여 검사 미수행으로 인해 발생하는 권한 상승 취약점 (CVE-2024-24741, CVSS 4.3)
SAP CRM(WEBCLIENT UI)에서 발생하는 XSS(교차 사이트 스크립팅) 취약점 (CVE-2024-24742, CVSS 4.1)
SAP Master Data Governance에서 발생하는 디렉터리 통과 취약점 (CVE-2023-49058, CVSS 3.5)