Fecha de publicación: 15/03/2023
Importancia:
Crítica
Recursos afectados:
- SAP Business Objects Business Intelligence Platform (CMC), versiones 420 y 430.
- SAP NetWeaver AS for Java, versión 7.50.
- SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
- SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
- SAP Business Objects (Adaptive Job Server), versiones 420 y 430.
El resto de productos afectados se pueden consultar en SAP Security Patch Day – Marzo 2023.
Descripción:
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución:
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 4 de severidad alta y el resto medias.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
- inyección de código,
- control de acceso inadecuado,
- limitación incorrecta de la ruta a un directorio restringido
- ejecución de comandos en SO.
Dos de las cinco nuevas notas de severidad crítica afectan a SAP Business Objects (SAP BO) Intelligence Platform. Su explotación podría permitir a un atacante inyectar código arbitrario con un fuerte impacto negativo en la integridad, la confidencialidad y la disponibilidad del sistema (CVE-2023-25616 y CVE-2023-23857).
Otra de las notas de severidad crítica afecta al sistema operativo SAP BO Adaptive Job Server y su explotación podría permitir la ejecución de comandos arbitrarios a través de la red. La vulnerabilidad solo afecta a las instalaciones de SAP BO en plataformas UNIX (CVE-2023-25617).
Las otras dos vulnerabilidades críticas restantes podrían permitir a un atacante con autorizaciones no administrativas sobrescribir archivos arbitrarios críticos y el acceso a archivos que no están asignados a un nombre de archivo lógico en el sistema (CVE-2023-27500 y CVE-2023-27269).
Etiquetas:
Actualización, SAP, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.