Noticia Vulnerabilidades

Noticia Vulnerabilidades


El 12 de septiembre de 2023, SAP lanzó una vez más un conjunto crucial de parches de seguridad para abordar una gran cantidad de vulnerabilidades en toda su línea de productos. El Día del parche de seguridad de SAP de este mes se centra principalmente en rectificar errores del programa. A continuación se muestra un resumen completo de las notas de seguridad, ordenadas según sus puntuaciones del Sistema de puntuación de vulnerabilidad común (CVSS):

Noticias de ultimo momento

  • BI-BIP-CMC [CVE-2023-25616] : Vulnerabilidad de inyección de código en SAP Business Objects Business Intelligence Platform (CMC) con una puntuación CVSS de 9,9. Publicado por primera vez el 14.03.2023, actualizado el 12.09.2023.
  • BI-BIP-LCM [CVE-2023-40622] : Vulnerabilidad de divulgación de información en la plataforma SAP BusinessObjects Business Intelligence (Gestión de promociones) con una puntuación CVSS de 9,9. Publicado el 12.09.2023.
  • BC-IAM-SSO-CCL [CVE-2023-40309] : Falta verificación de autorización en SAP CommonCryptoLib con una puntuación CVSS de 9,8. Publicado el 12.09.2023.
  • BC-FES-BUS-DSK [CVE-2023-40624] : Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client con una puntuación CVSS de 10,0. Publicado por primera vez el 10.04.2018, actualizado el 12.09.2023.
  • BC-XI-CON-UDS [CVE-2022-41272] : Control de acceso inadecuado en SAP NetWeaver AS Java (búsqueda definida por el usuario) con una puntuación CVSS de 9,9. Publicado por primera vez el 13.12.2022, actualizado el 12.09.2023.

Alta prioridad

  • BI-RA-WBI-FE [CVE-2023-42472] : Validación de tipo de archivo insuficiente en la plataforma SAP BusinessObjects Business Intelligence (interfaz HTML de Web Intelligence) con una puntuación CVSS de 8,7. Publicado el 12.09.2023.
  • BC-CCM-HAG [CVE-2023-40308] : Vulnerabilidad de corrupción de memoria en SAP CommonCryptoLib con una puntuación CVSS de 7,5. Publicado el 12.09.2023.

Prioridad media

  • BC-SYB-PD [CVE-2023-40621] : Vulnerabilidad de inyección de código en el cliente SAP PowerDesigner con una puntuación CVSS de 6,3. Publicado el 12.09.2023.
  • MM-FIO-PUR-SQ-CON [CVE-2023-40625] : Falta verificación de autorización en la aplicación Administrar contratos de compra con una puntuación CVSS de 5,4. Publicado el 12.09.2023.
  • BC-GP [CVE-2023-41367] : Falta la verificación de autenticación en SAP NetWeaver (procedimientos guiados) con una puntuación CVSS de 5,3. Publicado el 12.09.2023.
  • BI-BIP-LCM [CVE-2023-37489] : Vulnerabilidad de divulgación de información en la plataforma SAP BusinessObjects Business Intelligence (sistema de gestión de versiones) con una puntuación CVSS de 5,3. Publicado el 12.09.2023.
  • FS-QUO [CVE-2023-40308] : Vulnerabilidad de denegación de servicio (DOS) debido al uso de una versión vulnerable de Commons FileUpload en SAP Quotation Management Insurance (FS-QUO) con una puntuación CVSS de 5,7. Publicado el 12.09.2023.
  • BC-WD-UR [CVE-2023-40624] : Vulnerabilidad de inyección de código en SAP NetWeaver AS ABAP (aplicaciones basadas en Unified Rendering) con una puntuación CVSS de 5,5. Publicado el 12.09.2023.
  • BI-BIP-INS [CVE-2023-40623] : eliminación arbitraria de archivos mediante Directory Junction en SAP BusinessObjects Suite (instalador) con una puntuación CVSS de 6,2. Publicado el 12.09.2023.

Baja prioridad

  • FI-FIO-AP-CHK [CVE-2023-41368] : Vulnerabilidad de referencia directa de objetos insegura (IDOR) en SAP S/4HANA (Administrar aplicaciones de chequera) con una puntuación CVSS de 2,7. Publicado el 12.09.2023.
  • FI-FIO-AP [CVE-2023-41369] : Vulnerabilidad de bucle de entidad externa en SAP S/4HANA (Crear aplicación de pago único) con una puntuación CVSS de 3,5. Publicado el 12.09.2023.

Estadísticas:

Total de nuevas notas SAP: 16

Total de vulnerabilidades abordadas: 16

Puntuación CVSS más alta: 10.0 (HotNews) – Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client – ​​[CVE-2023-40624]

Descripción : esta nota calificada como HotNews aborda las actualizaciones de seguridad para el control del navegador Google Chromium entregado con SAP Business Client, con una puntuación CVSS crítica de 10,0.

Los 2 errores críticos principales:

  1. BI-BIP-CMC [CVE-2023-25616]
    • Puntuación CVSS : 9,9 (CVSS:3,0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
    • Descripción : esta nota de alta prioridad resuelve una vulnerabilidad de inyección de código en SAP Business Objects Business Intelligence Platform (CMC) con una puntuación CVSS de 9,9. Dado que esta vulnerabilidad permite a los atacantes comprometer la integridad y la confidencialidad del sistema, se recomienda actuar con prontitud para mitigar los riesgos potenciales.
  2. BC-XI-CON-UDS [CVE-2022-41272]
    • Puntuación CVSS : 9,9 (CVSS:3,0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L)
    • Descripción : esta nota de alta prioridad aborda un control de acceso inadecuado en SAP NetWeaver AS Java (búsqueda definida por el usuario) con una puntuación CVSS de 9,9. Como esta vulnerabilidad permite el acceso no autorizado, la aplicación inmediata de parches es esencial para proteger la aplicación y sus usuarios.

---