BiznetBiznet

SAP NetWeaver AS for Java, Customer Usage Provisioning Servlet Yetkisiz Erişim Güvenlik Problemi

Yazar: Deniz Çevik

CVE: CVE-2021-27598
CVSS: 6.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Risk Seviyesi: YÜKSEK
Ürün: SAP NetWeaver AS for Java
Etkilenen Sürümler: 7.31, 7.40, 7.50
Yama Tarihi: 13/04/2021
Raporlayan: Deniz ÇEVİK

Problem Detayları: SAP Netweaver üzerinde çalışan Customer Usage Provisioning Servlet uygulamalarına yetkisiz olarak bağlantı yapılabileceği tespit edilmiştir. Sıradan kullanıcılar yetkisiz erişilebilen bu uygulama sayesinde sistem ve üzerinde tutulan sürüm , trafik verisi gibi önemli bilgilere erişim sağlayabilmektedirler. SAP Netweaver 7.31, 7.40, 7.50 sürümleri bu sorundan etkilenmektedir.

Çözüm/Öneri:

Söz konusu problem SAP Nisan 2021 tarihli güvenlik duyurusu ve yama paketi ile giderilmiştir. Söz konusu zafiyet için aşağıdaki linkte detayı verilen 3027937 numaralı güvenlik notunun uygulanması gerekmektedir.

https://service.sap.com/sap/support/notes/3027937

Referanslar:

https://nvd.nist.gov/vuln/detail/CVE-2021-27598
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649

deniz.cevik
Yazar: deniz.cevik