L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SAP BusinessObjects

alerte de vulnérabilité CVE-2014-8659 CVE-2014-8660 CVE-2014-8661

SAP : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de SAP.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver, ASE.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/10/2014.
Références : CVE-2014-8659, CVE-2014-8660, CVE-2014-8661, CVE-2014-8662, CVE-2014-8663, CVE-2014-8664, CVE-2014-8665, CVE-2014-8666, CVE-2014-8667, CVE-2014-8668, CVE-2014-8669, DOC-8218, VIGILANCE-VUL-15471.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans SAP.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2014-8311

SAP BusinessObjects : obtention d'information via CORBA InfoStore

Synthèse de la vulnérabilité

Un attaquant peut utiliser CORBA InfoStore de SAP BusinessObjects, afin d'obtenir des informations sensibles.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/06/2014.
Date révision : 10/10/2014.
Références : 1998990, CVE-2014-8311, DOC-8218, ONAPSIS-2014-031, VIGILANCE-VUL-14864.

Description de la vulnérabilité

Le produit SAP BusinessObjects dispose d'un service CORBA.

Cependant, un attaquant peut utiliser InfoStore pour obtenir des informations.

Un attaquant peut donc utiliser CORBA InfoStore de SAP BusinessObjects, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-8310

SAP BusinessObjects : déni de service via CORBA OSCAFactory-Session

Synthèse de la vulnérabilité

Un attaquant peut utiliser CORBA OSCAFactory::Session de SAP BusinessObjects, afin de mener un déni de service.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/06/2014.
Date révision : 10/10/2014.
Références : 2001106, CVE-2014-8310, DOC-8218, ONAPSIS-2014-030, VIGILANCE-VUL-14863.

Description de la vulnérabilité

Le produit SAP BusinessObjects dispose d'un service CORBA.

Cependant, un attaquant peut appeler OSCAFactory::Session pour stopper CORBA.

Un attaquant peut donc utiliser CORBA OSCAFactory::Session de SAP BusinessObjects, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-8309

SAP BusinessObjects : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut utiliser SAP BusinessObjects, afin d'obtenir des informations sensibles.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/06/2014.
Date révision : 10/10/2014.
Références : 2001109, CVE-2014-8309, DOC-8218, ONAPSIS-2014-029, VIGILANCE-VUL-14862.

Description de la vulnérabilité

Le produit SAP BusinessObjects dispose d'un service web.

Cependant, un attaquant peut mesurer le temps de réponse pour détecter la présence d'utilisateurs.

Un attaquant peut donc utiliser SAP BusinessObjects, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-8308

SAP BusinessObjects : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de SAP BusinessObjects, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/06/2014.
Date révision : 10/10/2014.
Références : 1941562, CVE-2014-8308, DOC-8218, ONAPSIS-2014-032, VIGILANCE-VUL-14865.

Description de la vulnérabilité

Le produit SAP BusinessObjects dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de SAP BusinessObjects, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 13904

SAP BusinessObjects Explorer : Cross Site Flashing de com_businessobjects_polestar_bootstrap.swf

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Flashing dans com_businessobjects_polestar_bootstrap.swf de SAP BusinessObjects Explorer, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2013.
Date révision : 10/10/2014.
Références : 1908647, DOC-8218, VIGILANCE-VUL-13904.

Description de la vulnérabilité

Le produit SAP BusinessObjects Explorer dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être transférées à une application Flash.

Un attaquant peut donc provoquer un Cross Site Flashing dans com_businessobjects_polestar_bootstrap.swf de SAP BusinessObjects Explorer, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-8315

SAP BusinessObjects Explorer : obtention d'information via Port Scanning

Synthèse de la vulnérabilité

Un attaquant peut utiliser une Port Scanning sur SAP BusinessObjects Explorer, afin d'obtenir des informations sensibles.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2013.
Date révision : 10/10/2014.
Références : 1908562, CVE-2014-8315, DOC-8218, VIGILANCE-VUL-13903.

Description de la vulnérabilité

Le produit SAP BusinessObjects Explorer dispose d'un service web.

Cependant, un attaquant peut mesurer le temps de réponse à une requête, afin de déterminer les ports ouverts.

Un attaquant peut donc utiliser un Port Scanning sur SAP BusinessObjects Explorer, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 14732

SAP : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de SAP, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver, ASE.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/05/2014.
Date révision : 19/05/2014.
Références : 1979438, DOC-8218, VIGILANCE-VUL-14732.

Description de la vulnérabilité

Le produit SAP dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de SAP, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-3134

SAP BusinessObjects InfoView : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de SAP BusinessObjects InfoView, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Business Objects.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/01/2014.
Date révision : 29/04/2014.
Références : 1931399, CVE-2014-3134, DOC-8218, ONAPSIS-2014-010, VIGILANCE-VUL-14072.

Description de la vulnérabilité

Le produit SAP BusinessObjects InfoView dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de SAP BusinessObjects InfoView, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-2751

SAP Print and Output : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut accéder à un utilisateur de SAP Print and Output, afin d'élever ses privilèges ou d'obtenir des informations sensibles.
Produits concernés : Business Objects, Crystal Enterprise, Crystal Reports, SAP ERP, NetWeaver.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2013.
Date révision : 14/03/2014.
Références : 1911523, CVE-2014-2751, DOC-8218, ONAPSIS-2014-004, VIGILANCE-VUL-13915.

Description de la vulnérabilité

Le produit SAP Print and Output gère l'affichage des documents.

Cependant, il utilise un nom d'utilisateur codé en dur.

Un attaquant peut donc accéder à un utilisateur de SAP Print and Output, afin d'élever ses privilèges ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SAP BusinessObjects :