Actualización de seguridad de SAP de junio de 2024

Actualización de seguridad de SAP de junio de 2024

Recursos Afectados
  • SAP Financial Consolidation, versión FINANCE 1010;
  • SAP NetWeaver AS Java, versión MMR_SERVER 7.5.

El resto de productos afectados por vulnerabilidades, cuya severidad no es alta, pueden consultarse en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

4 – Alta
Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad alta, 7 de severidad media y 1 baja. También se han actualizado 2 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:

  • Cross-Site Scripting (XSS);
  • denegación de servicio (DoS).

CVE-2024-37177: SAP Financial Consolidation permite que los datos entren en una aplicación web a través de una fuente no fiable. Estos endpoints están expuestos a través de la red y podrían permitir al usuario modificar el contenido desde el sitio web. Si se explota con éxito, un atacante podría causar un impacto significativo en la confidencialidad e integridad de la aplicación.

CVE-2024-34688: debido al acceso sin restricciones a los servicios de repositorio de metamodelos en SAP NetWeaver AS Java, los atacantes podrían realizar ataques DoS en la aplicación, lo que podría impedir que los usuarios legítimos accedan a ella. Esto puede resultar en ningún impacto en la confidencialidad y la integridad, pero un alto impacto en la disponibilidad de la aplicación.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.