Cabecera-v2-web.jpg

Suplantación de identidad de usuario no autenticado en SAP


08/02/2022

SAP ha publicado un aviso que detalla una falla importante en el manejo de peticiones dentro de sus productos SAP NetWeaver, SAP Content Server y SAP Web Dispatcher, que podría conducir a una suplantación de identidad de un usuario no autenticado.

La documentación disponible públicamente es limitada en este momento, pero esta falla en el manejo de peticiones podría utilizarse para insertar el encabezado de solicitud REMOTE_USER y suplantar a otro usuario de SAP, incluida la cuenta de "Administrador" presente de forma predeterminada.

Esta vulnerabilidad ha sido asignada como CVE-2022-22536, de severidad crítica, con puntaje de 10. Esta vulnerabilidad puede explotarse a través de internet y sin necesidad de que los atacantes estén autenticados.

Los productos afectados son:

  • SAP Web Dispatcher 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
  • SAP Content Server 7.53
  • SAP NetWeaver and ABAP Platform, KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49

Se recomienda actualizar los productos a través del siguiente enlace.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11