米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月10日(現地時間)、「SAP Releases August 2021 Security Updates|CISA」において、SAPが2021年8月の月例セキュリティパッチをリリースしたと伝えた。
このリリースには無制限のファイルアップロードやサーバサイドリクエストフォージェリ(SSRF)、SQLインジェクション、XSS(クロスサイトスクリプティング)、不適切な認証などに関する計15件の脆弱性の修正が含まれている。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年8月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は、次のページにまとめられている。
リストに挙げられている15件の脆弱性のうち、次の3件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- CVE-2021-33698: SAP Business Oneにおける無制限のファイルアップロードの脆弱性
- CVE-2021-33690: SAP NetWeaver Development InfrastructureにおけるSSRFの脆弱性
- CVE-2021-33701: DMIS Mobile Plug-InおよびSAP S/4HANAにおけるSQLインジェクションの脆弱性
脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2021-33698とCVE-2021-33690が9.9、CVE-2021-33701が9.1となっている。その他には、優先度「高(Hight)」の脆弱性が5件、「中(Medium)」の脆弱性が7件修正された。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、SAPが提供するセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。