Suplantación de identidad de usuario no autenticado en SAP

SAP ha publicado un aviso que detalla una falla importante en el manejo de peticiones dentro de sus productos SAP NetWeaver, SAP Content Server y SAP Web Dispatcher, que podría conducir a una suplantación de identidad de un usuario no autenticado.

La documentación disponible públicamente es limitada en este momento, pero esta falla en el manejo de peticiones podría utilizarse para insertar el encabezado de solicitud REMOTE_USER y suplantar a otro usuario de SAP, incluida la cuenta de «Administrador» presente de forma predeterminada.

Esta vulnerabilidad ha sido asignada como CVE-2022-22536de severidad crítica, con puntaje de 10. Esta vulnerabilidad puede explotarse a través de internet y sin necesidad de que los atacantes estén autenticados.

Los productos afectados son:

  • SAP Web Dispatcher 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
  • SAP Content Server 7.53
  • SAP NetWeaver and ABAP Platform, KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49

Se recomienda actualizar los productos a través del siguiente enlace.

Referencias:

Compartir: