Patch Day SAP – Octubre 2021

Se ha publicado una nueva actualización de parches de seguridad para productos SAP. En este anuncio se han incluido 13 correcciones de seguridad distribuidas entre 3 vulnerabilidades Hot News (críticas), de las cuales una corresponde a la actualización de seguridad de una nota de abril, 1 vulnerabilidad de riesgo Alto y 10 de nivel Medio.

Dichas vulnerabilidades afectan a productos como SAP Business One, SAP NetWeaver y SAP BusinessObjects, entre otros.

Severidad Hot News

CVE-2020-10683, CVE-2021-23926  [Cvss 9.8]
Vulnerabilidad potencial de inyección de entidad externa XML en CVE relacionados con el cumplimiento ambiental de SAP , versión - 3.0 

• CVE-2020-10683

dom4j antes de 2.0.3 y 2.1.x antes de 2.1.3 permite DTD externas y entidades externas de forma predeterminada, lo que podría habilitar ataques XXE. Sin embargo, existe documentación externa popular de OWASP que muestra cómo habilitar el comportamiento seguro y no predeterminado en cualquier aplicación que use dom4j.

• CVE-2021-23926

Los analizadores XML utilizados por XMLBeans hasta la versión 2.6.0 no establecen las propiedades necesarias para proteger al usuario de entradas XML maliciosas. Las vulnerabilidades incluyen posibilidades de ataques de expansión de entidades XML. Afecta a XMLBeans hasta e incluyendo v2.6.0. 

 CVE-2021-38178 [Cvss 9.1]
Autorización incorrecta en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 710, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756.

Severidad Alta

CVE-2021-40498 [Cvss 7.8]
Denegación de servicio (DOS) en la aplicación móvil SAP SuccessFactors para dispositivos Android Producto - Aplicación móvil SAP SuccessFactors (para dispositivos Android), versiones - <2108 

Severidad Media

CVE-2021-40500 [Cvss 6.9]
Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Reports) Producto - SAP BusinessObjects Business Intelligence Platform (Crystal Reports) , Versiones - 420, 430 

CVE-2021-38179 [Cvss 6.7]
Divulgación de información en SAP Business One Producto - SAP Business One , Versión - 10,0 

CVE-2021-38180 [Cvss 6.5]
CSV inyección en SAP Business One Producto - SAP Business One , Versión - 10,0  

CVE-2021-38181 [Cvss 6.5]
Denegación de servicio (DOS) en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756   

CVE-2021-40499 [Cvss 6.4]
Vulnerabilidad de inyección de código para SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint) Producto - SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint), versiones - 7.70, 7.70 PI, 7.70 BYD 

CVE-2020-11023 [Cvss 6.1]
Vulnerabilidad de Cross-Site Scripting (XSS) en SAPUI5 Relacionado con Producto - SAPUI5, Versiones - 750, 753, 754  

CVE-2021-38183 [Cvss 5.4]
Cross-Site Scripting (XSS) vulnerabilidad en cms Servicio de SAP NetWeaver Producto - SAP NetWeaver, Versiones - 700, 701, 702, 730 

CVE-2021-40495 [Cvss 5.3]
Denegación de servicio (DOS) en SAP NetWeaver Application Server para ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 740, 750, 751, 752, 753, 754, 755 

CVE-2021-40497 [Cvss 4.3]
Divulgación de información en SAP BusinessObjects Analysis (edición para OLAP) Producto - SAP BusinessObjects Analysis, (edición para OLAP), Versiones - 420, 430  

CVE-2021-40496 [Cvss 4.3]
Control de acceso inadecuado en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785        

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.