Se ha publicado una nueva actualización de parches de seguridad para productos SAP. En este anuncio se han incluido 13 correcciones de seguridad distribuidas entre 3 vulnerabilidades Hot News (críticas), de las cuales una corresponde a la actualización de seguridad de una nota de abril, 1 vulnerabilidad de riesgo Alto y 10 de nivel Medio.
Dichas vulnerabilidades afectan a productos como SAP Business One, SAP NetWeaver y SAP BusinessObjects, entre otros.
Severidad Hot News
CVE-2020-10683, CVE-2021-23926 [Cvss 9.8]
Vulnerabilidad potencial de inyección de entidad externa XML en CVE relacionados con el cumplimiento ambiental de SAP , versión - 3.0
dom4j antes de 2.0.3 y 2.1.x antes de 2.1.3 permite DTD externas y entidades externas de forma predeterminada, lo que podría habilitar ataques XXE. Sin embargo, existe documentación externa popular de OWASP que muestra cómo habilitar el comportamiento seguro y no predeterminado en cualquier aplicación que use dom4j.
Los analizadores XML utilizados por XMLBeans hasta la versión 2.6.0 no establecen las propiedades necesarias para proteger al usuario de entradas XML maliciosas. Las vulnerabilidades incluyen posibilidades de ataques de expansión de entidades XML. Afecta a XMLBeans hasta e incluyendo v2.6.0.
CVE-2021-38178 [Cvss 9.1]
Autorización incorrecta en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 710, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756.
Severidad Alta
CVE-2021-40498 [Cvss 7.8]
Denegación de servicio (DOS) en la aplicación móvil SAP SuccessFactors para dispositivos Android Producto - Aplicación móvil SAP SuccessFactors (para dispositivos Android), versiones - <2108
Severidad Media
CVE-2021-40500 [Cvss 6.9]
Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Reports) Producto - SAP BusinessObjects Business Intelligence Platform (Crystal Reports) , Versiones - 420, 430
CVE-2021-38179 [Cvss 6.7]
Divulgación de información en SAP Business One Producto - SAP Business One , Versión - 10,0
CVE-2021-38180 [Cvss 6.5]
CSV inyección en SAP Business One Producto - SAP Business One , Versión - 10,0
CVE-2021-38181 [Cvss 6.5]
Denegación de servicio (DOS) en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
CVE-2021-40499 [Cvss 6.4]
Vulnerabilidad de inyección de código para SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint) Producto - SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint), versiones - 7.70, 7.70 PI, 7.70 BYD
CVE-2020-11023 [Cvss 6.1]
Vulnerabilidad de Cross-Site Scripting (XSS) en SAPUI5 Relacionado con Producto - SAPUI5, Versiones - 750, 753, 754
CVE-2021-38183 [Cvss 5.4]
Cross-Site Scripting (XSS) vulnerabilidad en cms Servicio de SAP NetWeaver Producto - SAP NetWeaver, Versiones - 700, 701, 702, 730
CVE-2021-40495 [Cvss 5.3]
Denegación de servicio (DOS) en SAP NetWeaver Application Server para ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 740, 750, 751, 752, 753, 754, 755
CVE-2021-40497 [Cvss 4.3]
Divulgación de información en SAP BusinessObjects Analysis (edición para OLAP) Producto - SAP BusinessObjects Analysis, (edición para OLAP), Versiones - 420, 430
CVE-2021-40496 [Cvss 4.3]
Control de acceso inadecuado en SAP NetWeaver AS ABAP y producto de plataforma ABAP - SAP NetWeaver AS ABAP y plataforma ABAP, versiones - 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://wiki.scn.sap.com/wiki/pages/viewpa... |
Producto | Versión |
---|---|
SAPUI5 |
750 753 754 |
SAP NetWeaver |
700 701 702 730 |
SAP BusinessObjects Analysis (edición para OLAP ) |
420 430 |
SAP Business One |
10 0 |
SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint ) |
7.70 7.70 PI 7.70 BYD |
Plataforma ABAP |
700 701 702 710 730 731 740 750 751 752 753 754 755 756 |
SAP NetWeaver AS ABAP |
700 701 702 710 730 731 740 750 751 752 753 754 755 756 |
Aplicación móvil SAP SuccessFactors (para dispositivos Android) |
anterior a 2108 |
Cumplimiento ambiental de SAP |
3.0 |
SAP BusinessObjects Business Intelligence Platform (Crystal Reports) |
420 430 |
SAP Business Client |
6.5 |