Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

ActualizaciĆ³n de seguridad de SAP de abril de 2023

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĆ³n: 12/04/2023

Importancia:
CrĆ­tica

Recursos afectados:

  • SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector), versiĆ³n 720.
  • SAP BusinessObjects Business Intelligence Platform (Promotion Management, versiones 420 yĀ 430.
  • SAP NetWeaver (BI CONT ADDON), versiones 707, 737, 747 yĀ 757.

El resto de productos afectados se pueden consultar enĀ SAP Security Patch Day ā€“ Abril 2023.

DescripciĆ³n:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

SoluciĆ³n:

Visitar el portal deĀ soporte de SAPĀ e instalar las actualizaciones o los parches necesarios, segĆŗn indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crĆ­tica, 1 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • omisiĆ³n de autenticaciĆ³n,
  • validaciĆ³n de entrada insuficiente,
  • divulgaciĆ³n de informaciĆ³n,
  • limitaciĆ³n incorrecta de la ruta a un directorio restringido.

Dos de las vulnerabilidades crĆ­ticas afectan aĀ SAP Diagnostics Agent y permiten que un usuario no autenticado ejecute scripts en todos los agentes de diagnĆ³stico conectados a SAP SolutionManager.Ā Junto con una validaciĆ³n de entrada insuficiente, los atacantes podrĆ­an ejecutar comandos maliciosos en todos los sistemas SAP monitoreados, lo que tendrĆ­a un gran impacto en su confidencialidad, integridad y disponibilidad. Se ha asignado el identificadorĀ CVE-2023-27497 a estas vulnerabilidades.

Otra de las vulnerabilidades crĆ­ticas afecta aĀ SAP BusinessObjects Business Intelligence Platform (gestiĆ³n de promociones), que tras de descifrar con Ć©xito su contenido, el atacante podrĆ­a obtener acceso a las contraseƱas de los usuarios de BI. Dependiendo de las autorizaciones del usuario suplantado, un atacante podrĆ­a comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.Ā Se ha asignado el identificadorĀ CVE-2023-28765 a esta vulnerabilidad.

Encuesta valoraciĆ³n

Etiquetas:
ActualizaciĆ³n, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.