Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Actualización de seguridad de SAP de noviembre de 2021

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 10/11/2021

Importancia:
Crítica

Recursos afectados:

  • SAP ABAP Platform Kernel, versiones 7.77, 7.81, 7.85, 7.86;
  • SAP Commerce, versiones 2105.3, 2011.13, 2005.18, 1905.34;
  • CA Introscope Enterprise Manager (SAP Solution Manager y SAP Focused Run), versiones 9.7, 10.1, 10.5, 10.7;
  • SAP GUI para Windows, versiones anteriores a 7.60 PL13, 7.70 PL4;
  • SAP ERP HCM Portugal, versiones 600, 604, 608;
  • SAP ERP Financial Accounting (RFOPENPOSTING_FR) , versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, SAPSCORE 125, S4CORE, 100, 101, 102, 103, 104, 105;
  • SAP NetWeaver AS para ABAP y ABAP Platparam, versiones 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756;

Descripción:

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución:

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle:

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 5 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 1 de severidad crítica, 2 de severidad alta y 4 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de ausencia de comprobación de autorización;
  • 1 vulnerabilidad de divulgación de información;
  • 2 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • La ausencia de comprobación de autorización en el Kernel de la Plataforma ABAP podría permitir a un atacante autenticado la escalada de privilegios. La vulnerabilidad afecta a las conexiones de confianza con otros sistemas a través de la comunicación RFC y HTTP, permitiendo al atacante ejecutar la lógica específica de la aplicación en otros sistemas para leer y modificar datos. Se ha asignado el identificador CVE-2021-40501 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-40502, CVE-2020-6369, CVE-2021-40503, CVE-2021-42062, CVE-2021-38164 y CVE-2021-40504.

Encuesta valoración

Etiquetas:
Actualización, SAP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Almacenamiento de contraseñas en PLC de Unitronics
Vulnerabilidad RCE en FactoryTalk Production Centre de Rockwell Automation
Vulnerabilidad de inyección de comandos en productos de Cisco
Vulnerabilidad de inyección de comandos en Peplink Smart Reader