SAP ha publicado 10 actualizaciones de seguridad en su Día de Parches del mes de Marzo, que corrigen vulnerabilidades en varios de sus productos, que fueron catalogadas como de severidades críticas 2, altas 2 y medias 6. También han actualizado 2 avisos de seguridad de meses anteriores.
Las vulnerabilidades de severidades críticas y altas están identificadas como:
CVE-2024-10744 (CVSS 9.4): Las versiones inferiores a 4.17.12 son vulnerables a la contaminación de prototipos y se podría permitir a un actor malicioso engañar a la función defaultsDeep para que agregue o modifique propiedades de Object.prototype usando una carga útil de construcción.
CVE-2024-22127 (CVSS 9.1): Las versiones 7.50, permite a un atacante con altos privilegios cargar archivos potencialmente peligrosos, lo que conduce a una vulnerabilidad de inyección de comandos.
CVE-2024-44487 (CVSS 7.5): Vulnerabilidad de protocolo HTTP/2 que podría permitir una denegación de servicio (consumo de recursos del servidor).
CVE-2024-50164 (CVSS 7.2): Podría permitir a un actor malicioso manipular los parámetros de carga de archivos para permitir el recorrido de rutas, y en algunas circunstancias provocar la carga de archivos maliciosos que puede usarse para realizar ejecución remota de código.
El listado de los productos afectados con severidades medias se detallan en:
Los avisos de actualizaciones anteriores afectan a:
- SAP Business Client, Versiones – 6.5, 7.0, 7.70
- SAP Commerce, Versiones – HY_COM 2105, HY_COM 2205, COM_CLOUD 2211
Productos afectados:
- SAP Build Apps, versioni precedenti alla 4.9.145.
- SAP NetWeaver AS Java (Administrator Log Viewer plug-in), version 7.50.
- SAP HANA Database, version 2.0.
- SAP HANA Extended Application Services Advanced (XS Advanced), version 1.0.
- SAP BusinessObjects Business Intelligence Platform (Central Management Console), version 4.3.
Recomendación:
Aplique las actualizaciones, descargando desde el sitio web oficial: SAP
Referencias: