SAP ha lanzado actualizaciones de seguridad para subsanar 11 vulnerabilidades, que permitirían a un atacante realizar ejecución remota de código (RCE), divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Crítica”, 2 (dos) de severidad “Alta” y 8 (ocho) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-22965 de severidad crítica, con puntuación de 9.8. Esta vulnerabilidad se debe a la ejecución de Spring4Shell en SAP Business One Cloud, Commerce, Customer Profitability Analy. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución de código remoto (RCE) en el dispositivo.
- CVE-2022-27656 de severidad alta, con puntuación de 8.3. Esta vulnerabilidad se debe a una vulnerabilidad de cross-site scripting (XSS) en la interfaz de usuario de administración de Web Dispatcher y Netweaver. Un atacante podría explotar esta vulnerabilidad para atraer a una víctima a iniciar sesión en la interfaz de usuario de administración mediante el navegador.
- CVE-2022-28214 de severidad alta, con puntuación de 7.8. Esta vulnerabilidad se debe a la exposición de las credenciales de autenticación en los registros de eventos de Sysmon. Un atacante podría explotar esta vulnerabilidad para la divulgación de información del servidor administrativo central.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Los principales productos afectados son:
- SAP Business One Cloud, Version 1.1.
- SAP Commerce, versiones 1905, 2005, 2105 y 2011.
- SAP Customer Profitability Analytics, Version 2.
Se puede acceder al listado completo de los productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes que serán provistas por SAP en el siguiente enlace:
Referencias: