Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Actualización de seguridad de SAP de marzo de 2023

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 15/03/2023

Importancia:
Crítica

Recursos afectados:

  • SAP Business Objects Business Intelligence Platform (CMC), versiones 420 y 430.
  • SAP NetWeaver AS for Java, versión 7.50.
  • SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
  • SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
  • SAP Business Objects (Adaptive Job Server), versiones 420 y 430.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Marzo 2023.

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 4 de severidad alta y el resto medias.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • inyección de código,
  • control de acceso inadecuado,
  • limitación incorrecta de la ruta a un directorio restringido
  • ejecución de comandos en SO.

Dos de las cinco nuevas notas de severidad crítica afectan a SAP Business Objects (SAP BO) Intelligence Platform. Su explotación podría permitir a un atacante inyectar código arbitrario con un fuerte impacto negativo en la integridad, la confidencialidad y la disponibilidad del sistema (CVE-2023-25616 y CVE-2023-23857).

Otra de las notas de severidad crítica afecta al sistema operativo SAP BO Adaptive Job Server y su explotación podría permitir la ejecución de comandos arbitrarios a través de la red. La vulnerabilidad solo afecta a las instalaciones de SAP BO en plataformas UNIX (CVE-2023-25617).

Las otras dos vulnerabilidades críticas restantes podrían permitir a un atacante con autorizaciones no administrativas sobrescribir archivos arbitrarios críticos y el acceso a archivos que no están asignados a un nombre de archivo lógico en el sistema (CVE-2023-27500 y CVE-2023-27269).

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.