米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月14日(現地時間)、「SAP Releases September 2021 Security Updates  |CISA」において、SAPが2021年9月の月例セキュリティパッチをリリースしたと伝えた。

このリリースには認証チェックの不備や無制限のファイルアップロード、SQLインジェクション、コードインジェクションなどに関する計19件の脆弱性の修正が含まれている。

SAPでは毎月第2火曜日に「SAP Security Patch Day」として、同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年9月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。

リストに挙げられている19件の脆弱性のうち、次の7件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。

  • SAP Business Clientに含まれるGoogle Chromiumのセキュリティアップデート
  • CVE-2021-37535: SAP NetWeaver Application Server Javaにおける認証チェックの不備
  • CVE-2021-33698: SAP Business Oneにおける無制限のファイルアップロードの脆弱性
  • CVE-2021-38176: SAP NZDT Mapping Table FrameworkにおけるSQLインジェクションの脆弱性
  • CVE-2021-38163: SAP NetWeaverにおける無制限のファイルアップロードの脆弱性
  • CVE-2021-37531: SAP NetWeaver Knowledge Management XML FormsにおけるコードLインジェクションの脆弱性
  • CVE-2021-33672: SAP Contact Center, Versionにおける複数の脆弱性

脆弱性の深刻度を表すCVSS v3のスコアは、ChromiumのアップデートとCVE-2021-37535が10.0、CVE-2021-33698とCVE-2021-38176、CVE-2021-38163、CVE-2021-37531が9.9、CVE-2021-33672が9.6となっている。その他、優先度「高(Hight)」の脆弱性が2件、「中(Medium)」の脆弱性が10件修正されている。

  • SAP Security Patch Day – September 2021 - Product Security Response at SAP

    SAP Security Patch Day – September 2021 - Product Security Response at SAP