米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月10日(現地時間)、「SAP Releases August 2021 Security Updates|CISA」において、SAPが2021年8月の月例セキュリティパッチをリリースしたと伝えた。

このリリースには無制限のファイルアップロードやサーバサイドリクエストフォージェリ(SSRF)、SQLインジェクション、XSS(クロスサイトスクリプティング)、不適切な認証などに関する計15件の脆弱性の修正が含まれている。

SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年8月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は、次のページにまとめられている。

  • SAP Security Patch Day – August 2021 - Product Security Response at SAP - Community Wiki

    SAP Security Patch Day – August 2021 - Product Security Response at SAP - Community Wiki

リストに挙げられている15件の脆弱性のうち、次の3件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。

  • CVE-2021-33698: SAP Business Oneにおける無制限のファイルアップロードの脆弱性
  • CVE-2021-33690: SAP NetWeaver Development InfrastructureにおけるSSRFの脆弱性
  • CVE-2021-33701: DMIS Mobile Plug-InおよびSAP S/4HANAにおけるSQLインジェクションの脆弱性

脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2021-33698とCVE-2021-33690が9.9、CVE-2021-33701が9.1となっている。その他には、優先度「高(Hight)」の脆弱性が5件、「中(Medium)」の脆弱性が7件修正された。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、SAPが提供するセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。