Se ha reportado un aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos SAP, que permitirían a un atacante obtener acceso no autorizado, realizar divulgación de información, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 1 (una) de severidad “Alta”, 12 (doce) de severidad “Media” y 6 (seis) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-27497, de severidad “Crítica” y puntuación de 10.0. Esta vulnerabilidad se debe a una falla de validación de datos de entrada de EventLogServiceCollector en SAP Diagnostics Agent. Esto permitiría a un atacante ejecutar scripts maliciosos en los agentes de diagnóstico de Windows y poner en peligro el sistema afectado.
- CVE-2023-28765, de severidad “Crítica” y puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en SAP BusinessObjects Business Intelligence Platform (Promotion Management). Esto permitiría a un atacante con mínimos privilegios obtener acceso no autorizado a las contraseñas del usuario de BI y poner en peligro el sistema afectado.
- CVE-2023-27269, de severidad “Crítica” y puntuación de 9.6. Esta vulnerabilidad del tipo directory Traversal se debe a una falla de seguridad en SAP NetWeaver AS para ABAP y Plataforma ABAP. Esto permitiría a un atacante con acceso no administrativo sobrescribir archivos del sistema operativo, provocando una denegación de servicio (DoS) en el sistema afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Principales productos afectados son:
- SAP Diagnostics Agent, versión 720.
- SAP NetWeaver AS para ABAP y ABAP Platform (SAP_BASIS), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
- SAP BusinessObjects Business Intelligence Platform (Promotion Management, versiones 420 y 430.
- SAP NetWeaver (BI CONT ADDON), versiones 707, 737, 747 y 757.
Se puede acceder al listado completo de los productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes que son provistas por el soporte de SAP en los siguientes enlaces:
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
- https://support.sap.com/en/offerings-programs/support-small-medium-enterprises/business-one/upgrades-patches.html
Referencias:
- https://securityonline.info/cve-2023-27497-cve-2023-28765-critical-flaws-affect-sap-products/
- https://nvd.nist.gov/vuln/detail/CVE-2023-27497
- https://nvd.nist.gov/vuln/detail/CVE-2023-28765
- https://nvd.nist.gov/vuln/detail/CVE-2023-27269
- https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
- https://support.sap.com/en/offerings-programs/support-small-medium-enterprises/business-one/upgrades-patches.html