Actualizaciones de seguridad para SAP 

Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de SAP, que permitirían a un atacante realizar ataques del tipo server-side request forgery (SSRF), ejecución remota de código (RCE), entre otros. 

Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 5 (cinco) de severidad “Alta”, y 9 (nueve) de severidad “Media”, entre ellas se destacan:  

• CVE-2022-41267, de severidad “crítica” y puntuación de 9.9. Esta vulnerabilidad se debe a una falla de protección de los archivos de SAP BusinessObjects Business Intelligence Platform. Esto permitiría a un atacante con privilegios de usuario BI estándar realizar ataques del tipo server-side request forgery (SSRF) en el sistema afectado y así crear o reemplazar cualquier archivo a nivel del sistema operativo, e incluso de esta forma tomar control completo del sistema. 

• CVE-2022-41272, de severidad “crítica” y puntuación de 9.9. Esta vulnerabilidad se debe a una falla de seguridad en el control de acceso de interfaces abiertas expuestas a través de JNDI por la funcionalidad User Defined Search (UDS) en SAP NetWeaver Process Integration. Un atacante con acceso de red podría acceder de forma no autorizada a los datos del sistema afectado, así como modificaciones limitadas y poner en peligro el desempeño del sistema. 

• CVE-2022-42889, de severidad “crítica” y puntuación de 9.8. Esta vulnerabilidad se debe a una falla de validación de entradas en Apache Commons Text utilizada por SAP Commerce. Un atacante a través de peticiones especialmente diseñadas podría realizar ejecución remota de código (RCE) en el sistema afectado. 

Se puede acceder al listado completo de las vulnerabilidades aquí. 

Algunos productos afectados son: 

• SAP Business Client, versiones 6.5, 7.0, 7.70. 
• SAP BusinessObjects Business Intelligence Platform, versiones 420, 430. 
• SAP NetWeaver Process Integration, versión 7.50. 

• SAP Commerce, versiones 1905, 2005, 2105, 2011, 2205. 

Se puede acceder al listado completo de los productos afectados aquí. 

Recomendamos instalar las actualizaciones correspondientes que serán provistas por el soporte de SAP en el siguiente enlace:  

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html 

Referencias: 

• https://www.securityweek.com/saps-december-2022-security-updates-patch-critical-vulnerabilities 
• https://nvd.nist.gov/vuln/detail/CVE-2022-41267 

• https://nvd.nist.gov/vuln/detail/CVE-2022-41272 
• https://nvd.nist.gov/vuln/detail/CVE-2022-42889 
• https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10 
• https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html