Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Actualización de seguridad de SAP de diciembre de 2022

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 14/12/2022

Importancia:
Crítica

Recursos afectados:

  • SAP Business Client, versiones 6.5, 7.0 y 7.70;
  • SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
  • SAP NetWeaver Process Integration, versión 7.50;
  • SAP Commerce, versiones 1905, 2005, 2105, 2011 y 2205;
  • SAP NetWeaver Process Integration, versión 7.50;
  • SAPBASIS, versiones 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790 y 791;
  • SAP Business Planning y Consolidation, versiones SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, DWCORE 200, 300 y CPMBPC 810;
  • SAP BusinessObjects Business Intelligence Platform (Program Objects) versiones 420 y 430;
  • SAP Commerce Webservices 2.0 (Swagger UI), versiones 1905, 2005, 2105, 2011 y 2205;
  • SAPUI5, versiones 754, 755, 756, 757 y CLIENT RUNTIME, versiones –600, 700, 800, 900 y 1000;

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Diciembre 2022.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, siendo 4 notas de severidad crítica, 3 de severidad alta y 6 de severidad media. También se han actualizado 5 notas de seguridad de meses anteriores.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • Server-Side Request Forgery (SSRF),
  • control de acceso inadecuado,
  • ejecución remota de código,
  • inyección de código,
  • escalada de privilegios,
  • Cross-Site Scriping (XSS).

Las vulnerabilidades de severidad crítica afectan a NetWeaver Process Integration SAP y BusinessObjects Business Intelligence Platformy, y podrían permitir hacer uso de una API abierta de nombres y directorios para acceder a servicios que podrían realizar operaciones no autorizadas o tomar el control total del sistema y provocar un impacto significativo en la confidencialidad, integridad y disponibilidad de la aplicación.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Vulnerabilidad de inyección de comandos en productos de Cisco
Vulnerabilidad de inyección de comandos en Peplink Smart Reader
Múltiples vulnerabilidades en Avalanche de Ivanti
Ejecución remota de código en PCOMM de IBM