ActualizaciĆ³n de seguridad de SAP de junio de 2023

ActualizaciĆ³n de seguridad de SAP de junio de 2023
cristian.cadenas
MiĆ©, 14/06/2023 – 11:36

Recursos Afectados
  • SAP UI5 Variant Management, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 200;
  • SAP Plant Connectivity, versiĆ³n 15.5;
  • SAP NetWeaver, versiĆ³n 7.50;
  • SAP NetWeaver Enterprise Portal, versiĆ³n 7.50;
  • SAP CRM ABAP, versiĆ³n 430;
  • Master Data Synchronization, versiones SAP_APPL 600, 602, 603, 604, 605, 606 y 616;
  • SAP NetWeaver, versiones 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
DescripciĆ³n

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

4 – Alta
SoluciĆ³n

Visitar el portal deĀ soporte de SAPĀ e instalar las actualizaciones o los parches necesarios, segĆŗn indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad, siendo 2 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • neutralizaciĆ³n inadecuada de cĆ³digo,
  • ausencia de autenticaciĆ³n.

La primera vulnerabilidad, de severidad alta, que afecta a SAP UI5 Variant Management, no codifica correctamente las entradas controladas por el usuario al leer datos del servidor. La explotaciĆ³n de esta vulnerabilidad podrĆ­a permitir a un atacante modificar informaciĆ³n y provocar la indisponibilidad de la aplicaciĆ³n a nivel de usuario. Se ha asignado el identificador CVE-2023-33991 a esta vulnerabilidad.

La segunda vulnerabilidad, de severidad alta, no valida la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing, lo que podrĆ­a permitir a un atacante enviar solicitudes de servicio afectando a la integraciĆ³n con SAP Digital Manufacturing. Se ha asignado el identificador CVE-2023-2827 a esta vulnerabilidad.

Ir a la fuente
Author: cristian.cadenas
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.