Fecha de publicación: 13/04/2022
Importancia:
Crítica
Recursos afectados:
- Fiori Launchpad, versiones 754, 755 y 756;
- SAP 3D Visual Enterprise Viewer, versión 9;
- SAP Business Client, versión 6.5;
- SAP BusinessObjects Business Intelligence Platform (BI Workspace), versión 420;
- SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
- SAP BusinessObjects Enterprise (Central Management Server), versiones 420 y 430;
- SAP Commerce, versiones 1905, 2005, 2105 y 2011;
- SAP Content Server, versión 7.53;
- SAP Customer Checkout, versión 2.0;
- SAP Customer Checkout_SVR, versión 2.0;
- SAP Focused Run (Simple Diagnostics Agent), versión 1.0;
- SAP HANA Extended Application Services, versión 1;
- SAP Innovation Management, versión 2;
- SAP Manufacturing Integration and Intelligence, versiones 15.1, 15.2, 15.3 y 15.4;
- SAP NetWeaver (EP Web Page Composer), versiones 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP NetWeaver (Internet Communication Manager), versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85 y 7.86;
- SAP NetWeaver ABAP Server and ABAP Platform, versiones 740, 750 y 787;
- SAP NetWeaver Application Server ABAP and ABAP Platform, versiones 700, 710, 711, 730, 731, 740 y 750-756;
- SAP NetWeaver Application Server Java, versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49 y 7.53;
- SAP NetWeaver Application Server for ABAP (Kernel) and ABAP Platform (Kernel), versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
- SAP NetWeaver Application Server for Java, versión 7.50;
- SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
- SAP NetWeaver and ABAP Platform, versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT y 7.49;
- SAP SQL Anywhere Server, versión 17.0;
- SAP Web Dispatcher, versiones 7.22, 7.22EXT, 7.49, 7.53, 7.77, 7.81, 7.83, 7.85, 7.86 y 7.87;
- SAPS/4HANA(Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), versiones 104, 105 y 106;
- SAPUI5 (vbm library), versiones 750, 753, 754, 755 y 756;
- SAPUI5, versiones: 750, 753, 754, 755, 756 y 200.
Descripción:
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución:
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 22 notas de seguridad y 10 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 4 de severidad alta, 13 de severidad media y 2 de severidad baja.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- 4 vulnerabilidades de ejecución remota de código;
- 3 vulnerabilidades de Cross-Site Scripting (XSS);
- 3 vulnerabilidades de denegación de servicio (DoS);
- 3 vulnerabilidades de divulgación de información;
- 1 vulnerabilidad de escalada de privilegios;
- 1 vulnerabilidad de falta de comprobación de entrada;
- 2 vulnerabilidades de falta de validación XML;
- 1 vulnerabilidad de redirección URL;
- 1 vulnerabilidad de directory traversal;
- 1 vulnerabilidad de Cross-Side Request Forgery (CSRF);
- 1 vulnerabilidad de falta de autorización;
- 1 vulnerabilidad de otro tipo.
La nota de seguridad más destacada del mes se refiere a la vulnerabilidad en Spring Framework en SAP HANA Extended Application Services, con el identificador CVE-2022-22965 asignado.
Etiquetas:
Actualización, SAP, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.