SAP ha lanzado, en su aviso de seguridad del mes de noviembre, parches de seguridad en el que se resuelven múltiples vulnerabilidades en sus productos, entre las que se incluye una vulnerabilidad de severidad alta en SAP Web Dispatcher. Estas vulnerabilidades permitirían la ejecución de código arbitrario y la escalada de privilegios.
Productos Afectados
SAP Web Dispatcher – Versiones:
- WEBDISP 7.77, 7.89, 7.93
- KERNEL 7.77, 7.89, 7.93, 9.12, 9.13
SAP NetWeaver AS Java – Versión LM-SLD 7.5.
SAP NetWeaver Application Server Java (Logon Application) – Versión SERVERCORE 7.5.
SAP Host Agent – Versión SAPHOSTAGENT 7.22.
SAP NetWeaver Application Server for ABAP and ABAP Platform – Versiones
- KRNL64NUC 7.22, 7.22EXT
- KRNL64UC 7.22, 7.22EXT, 7.53, 8.04
- KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13
SAP NetWeaver Java (Software Update Manager) – Versión SUM 1.1.
SAP Cash Management (Cash Operations) – Versiones S4CORE 103, 104, 105, 106, 107, 108.
Impacto
La vulnerabilidad de severidad alta se identifica como:
CVE-2024-47590: Puntuación CVSS 8.8. Un actor malicioso no autenticado podría crear un enlace malicioso que al ser abierto por una víctima autenticada permitiría la ejecución de código arbitrario en el servidor.
Las demás vulnerabilidades se identifican como:
CVE-2024-42372: Puntuación CVSS 6.5, severidad media. Un inapropiado proceso de autorización en SAP NetWeaver AS Java permitiría a un usuario no autorizado leer y modificar configuraciones SLD restringidas.
CVE-2024-47595: Puntuación CVSS 6.3, severidad media. La vulnerabilidad podría permitir a un actor malicioso conseguir acceso a un grupo sapsys y reemplazar archivos locales protegidos.
CVE-2024-47592: Puntuación CVSS 5.3, severidad media. Una vulnerabilidad en SAP NetWeaver AS Java podría permitir a un actor malicioso no autenticado obtener IDs de usuarios legítimos a través de la funcionalidad de login.
CVE-2024-47586: Puntuación CVSS 5.3, severidad media. Una vulnerabilidad en SAP NetWeaver Application Server for ABAP and ABAP Platform podría permitir a un actor malicioso no autenticado envíar consultas http maliciosas que podrían provocar que el sistema crashee o se reinicie.
CVE-2024-47588: Puntuación CVSS 4.7, severidad media. Una vulnerabilidad en SAP NetWeaver Java (Software Update Manager 1.1) podría permitir a un actor malicioso con acceso local al servidor adquirir credenciales de los logs del sistema.
CVE-2024-47593: Puntuación CVSS 4.3, severidad media. Una vulnerabilidad en SAP NetWeaver Application Server ABAP podría permitir a un actor malicioso no autenticado con acceso a la red leer archivos restringidos del servidor.
CVE-2024-47587: Puntuación CVSS 3.5, severidad baja. Una vulnerabilidad en el componente Cash Operations podría permitir a un actor malicioso autenticado escalar en privilegios.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2024-47587