- SAP NetWeaver AS Java User Management Engine, en sus versiones versiones: SERVERCORE 7.50, J2EE-APPS 7.50 y UMEADMIN 7.50.
- SAP BusinessObjects Web Intelligence, versiones 4.2 y 4.3.
- SAP Asset Accounting, en sus versiones: SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 y SAP_FIN700.
El resto de productos afectados por vulnerabilidades cuya severidad no es alta, pueden consultarse en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, segĆŗn indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 3 de severidad alta y 7 medias. TambiƩn, se han actualizado 2 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta son:
- mecanismo dĆ©bil de recuperaciĆ³n de contraseƱas olvidadas,
- exposiciĆ³n de informaciĆ³n sensible a un agente no autorizado,
- limitaciĆ³n incorrecta de una ruta a un directorio restringido.
CVE-2024-27899: las acciones de auto-registro y modificaciĆ³n del perfil propio en User Admin AplicaciĆ³n de NetWeaver AS Java, no hacen cumplir los requisitos de seguridad adecuados para el contenido de la respuesta de seguridad reciĆ©n definido. Esto podrĆa ser aprovechado por un atacante para causar un profundo impacto en la confidencialidad y un bajo impacto tanto en la integridad como en la disponibilidad.
CVE-2024-25646: debido a una validaciĆ³n incorrecta, SAP BusinessObject Business Intelligence Launch Pad podrĆa permite a un atacante autenticado acceder a informaciĆ³n del sistema operativo utilizando un documento especialmente diseƱado. En caso de explotaciĆ³n exitosa, podrĆa haber un impacto considerable en la confidencialidad de la aplicaciĆ³n.
CVE-2024-27901: SAP Asset Accounting podrĆa permitir a un atacante con privilegios elevados aprovecharse de una validaciĆ³n insuficiente de la informaciĆ³n de ruta proporcionada por los usuarios y pasarla a las API de archivos. Esto tendrĆa un impacto considerable en la confidencialidad, integridad y disponibilidad de la aplicaciĆ³n.
Ā
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĆ”s informaciĆ³n o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĆ”logo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĆ³n que pueda tener.