CERTFR-2020-ALE-017
<strong>\[Mise à jour du 22 juillet 2020\]</strong> Le CERT-FR a connaissance de codes d'attaques disponibles publiquement. Le CERT-FR renouvelle sa recommandation d'appliquer les correctifs de sécurité dans les plus brefs délais. SAP fournit plus de renseignements à ses clients dans sa note 2934135 (<https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html>) <strong>\[Publication initiale\]</strong> De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| SAP SE | SAP NetWeaver AS JAVA (LM Configuration Wizard) | < 7.30, < 7.31, < 7.40 |
Timeline
- Apr 17, 2019 CVE Published
- Jul 23, 2020 PoC Published
- Nov 8, 2021 PoC Published
- Nov 20, 2021 PoC Published
- Nov 14, 2024 PoC Published
- Dec 24, 2024 PoC Published
- Jan 12, 2025 PoC Published
- Jan 26, 2025 PoC Published
- Feb 6, 2025 PoC Published
- Feb 23, 2025 PoC Published
- Feb 23, 2025 PoC Published
- Jun 5, 2025 PoC Published
References
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 url
- https://launchpad.support.sap.com/#/notes/2934135 url
- https://www.onapsis.com/recon-sap-cyber-security-vulnerability url
- 20210405 Onapsis Security Advisory 2021-0003: [CVE-2020-6287] - [SAP RECON] SAP JAVA: Unauthenticated execution of configuration tasks mailing-list
- http://packetstormsecurity.com/files/162085/SAP-JAVA-Configuration-Task-Execution.html url
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-6287 url