SAP ha lanzado actualizaciones de seguridad que corrigen 10 nuevas vulnerabilidades en sus productos, incluidas 2 de severidad «alta» que podrían permitir ataques de tipo cross-site scripting (XSS) y denegación de servicio (DoS).
Productos afectados:
- SAP Financial Consolidation, versión FINANCE 1010.
- SAP NetWeaver AS Java, versión MMR_SERVER 7.5.
Impacto:
Las vulnerabilidades de severidad alta se identifican como:
CVE-2024-37177: (CVSSv3 de 8.1), podría permitir a un actor malicioso inyectar código JavaScript malicioso en una aplicación web, lo que permitiría tomar el control de la sesión de un usuario, robar datos confidenciales o incluso desfigurar el sitio web.
CVE-2024-34688: (CVSSv3 de 7.5), podría ser explotada por un actor malicioso remoto, debido al acceso sin restricciones a los servicios del Meta Model Repository en SAP NetWeaver AS Java, para realizar ataques de denegación de servicio (DoS) en la aplicación, lo que podría impedir que los usuarios legítimos accedan a ella.
El listado de los productos afectados con severidades medias se detallan en:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2024.html
Recomendación:
Se recomienda aplicar las actualizaciones o los parches necesarios, descargando desde el sitio web oficial.
Referencia: