Actualización de seguridad del mes de Abril para productos SAP 

11/04/2024 Noticias 0

SAP ha publicado 10 actualizaciones de seguridad en su Día de Parches del mes de Abril, que corrigen vulnerabilidades en varios de sus productos, que fueron catalogadas como de severidades altas 3 y medias 7. También han actualizado 2 avisos de seguridad de meses anteriores. 

Los tipos de vulnerabilidades de severidades altas son:

mecanismo débil de recuperación de contraseñas olvidadas,

exposición de información sensible a un agente no autorizado,

limitación incorrecta de una ruta a un directorio restringido.

Y están identificadas como:

CVE-2024-27899 (CVSS 8.8): Auto-registro y modificación de su propio perfil en la aplicación de administración de usuarios de NetWeaver AS Java no existe registro de seguridad. Esto podría permitir a un actor malicioso aprovechar eso para causar un profundo impacto en la confidencialidad y un bajo impacto tanto en la en la integridad como en la disponibilidad. 

CVE-2024-25646 (CVSS 7.7): Debido a una validación incorrecta, SAP BusinessObject Business Intelligence Launch Pad podría permitir a un atacante autenticado acceder a información del sistema operativo utilizando un documento especialmente diseñado.

CVE-2024-27901 (CVSS 7.2): SAP Asset Accounting podría permitir a un actor malicioso con privilegios elevados aprovecharse de una validación insuficiente de la información de ruta proporcionada por los usuarios y pasarla a las API de archivos. 

Productos afectados: 

  • SAP NetWeaver AS Java User Management Engine, en sus versiones: SERVERCORE 7.50, J2EE-APPS 7.50 y UMEADMIN 7.50.
  • SAP BusinessObjects Web Intelligence, versiones 4.2 y 4.3.
  • SAP Asset Accounting, en sus versiones: SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 y SAP_FIN700.

El listado de los productos afectados con severidades medias se detallan en:

Los avisos de actualizaciones que afectan a otros anteriores son: 

  • Celda de integración de SAP Edge, versiones anteriores a 8.13.5
  •  SAP Business Connector, versión: 4.8

Recomendación: 

Aplique las actualizaciones o los parches necesarios, descargando desde el sitio web oficial:  SAP
 

Referencias: 

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-27899
https://nvd.nist.gov/vuln/detail/CVE-2024-25646
https://nvd.nist.gov/vuln/detail/CVE-2024-27901
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-abril-de-2024
Compartir: