Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Actualización de seguridad de SAP de abril de 2023

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 12/04/2023

Importancia:
Crítica

Recursos afectados:

  • SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector), versión 720.
  • SAP BusinessObjects Business Intelligence Platform (Promotion Management, versiones 420 y 430.
  • SAP NetWeaver (BI CONT ADDON), versiones 707, 737, 747 y 757.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Abril 2023.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 1 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • omisión de autenticación,
  • validación de entrada insuficiente,
  • divulgación de información,
  • limitación incorrecta de la ruta a un directorio restringido.

Dos de las vulnerabilidades críticas afectan a SAP Diagnostics Agent y permiten que un usuario no autenticado ejecute scripts en todos los agentes de diagnóstico conectados a SAP SolutionManager. Junto con una validación de entrada insuficiente, los atacantes podrían ejecutar comandos maliciosos en todos los sistemas SAP monitoreados, lo que tendría un gran impacto en su confidencialidad, integridad y disponibilidad. Se ha asignado el identificador CVE-2023-27497 a estas vulnerabilidades.

Otra de las vulnerabilidades críticas afecta a SAP BusinessObjects Business Intelligence Platform (gestión de promociones), que tras de descifrar con éxito su contenido, el atacante podría obtener acceso a las contraseñas de los usuarios de BI. Dependiendo de las autorizaciones del usuario suplantado, un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2023-28765 a esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Vulnerabilidad RCE en Wazuh Manager
Múltiples vulnerabilidades en switches SAN de HPE
Múltiples vulnerabilidades en productos Hitachi Energy
Múltiples vulnerabilidades en productos de Honeywell