Patch Day SAP – Junio 2022
14 Junio 2022Amenaza
En el martes de parches de junio del 2022 SAP publicó 10 nuevos avisos de seguridad para sus productos, de los cuales 2 son de Severidad Alta, 6 de Severidad Media y 2 Bajas. Además, se incluyen dos actualizaciones abordadas anteriormente.
CVE-2022-27668 [CVSS 3.1: 8.6]
Control de acceso inadecuado de SAProuter para las plataformas SAP NetWeaver y ABAP
- Producto afectado
- SAP NetWeaver y Plataforma ABAP; KERNEL 7.49, 7.77,7,81, 7,85, 7,86, 7,87, 7,88, KRNL64NUC 7,49, KRNL64UC 7,49, SAP_ROUTER7.53, 7.22
CVE-2022-31590 [CVSS 3.1: 7.8]
Potencial escalada de privilegios en SAP PowerDesigner Proxy
- Producto afectado
- SAP PowerDesigner Proxy; 16.7
Múltiples CVE [CVSS 3.1: 6.5]
Validación de entrada incorrecta en SAP 3D Visual Enterprise viewer
- Producto afectado
- SAP 3D Visual Enterprise Viewer; 9.0
CVE-2022-29618 [CVSS 3.1: 6.1]
Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Development Infrastructure
- Producto afectado
- SAP NetWeaver Development Infrastructure; 7.30, 7.31, 7.40, 7.50
CVE-2022-29612 [CVSS 3.1: 5.0]
Server-Side Request Forgery in SAP NetWeaver, ABAP Platform and SAP Host Agent
- Producto afectado
- SAP NetWeaver, ABAP Platform y SAP Host Agent; KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, 8.04, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53, 8.04, SAPHOSTAGENT 7.22
CVE-2022-31589 [CVSS 3.1: 5.0]
Vulnerabilidad de segregación de funciones en el archivo IL FI-AP desde el programa SHAAM
- Producto afectado
- SAP ERP; C-ECO110_600,110_602,110_603, 110_604, 110_700P
- SAP Financials; SAP_FIN 618, 720
- SAP S/4Hana Core, V; -S4CORE 100, 101, 102, 103, 104, 105,106, 107, 108
CVE-2022-31595 [CVSS 3.1: 5.0]
Vulnerabilidad de escalada de privilegios en SAP Financial Consolidation
- Producto afectado
- SAP Adaptive Server Enterprise (ASE); KERNEL 7.22, 7.49,7.53, KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53
CVE-2022-29614 [CVSS 3.1: 4.9]
Escalada de privilegios en SAP startservice de SAP NetWeaver AS ABAP, AS Java, plataforma ABAP y HANA Database
- Producto afectado
- SAP NetWeaver AS ABAP, AS Java, plataforma ABAP y HANA Database; KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88,KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC 7.22, 7.22EXT, 7.49, 7.53,SAPHOSTAGENT 7.2
CVE-2022-29615 [CVSS 3.1: 3.4]
Múltiples vulnerabilidades asociadas con Apache log4j 1.x componente en SAP Netweaver Developer Studio (NWDS)
- Producto afectado
- SAP Netweaver Developer Studio (NWDS); 7.50
CVE-2022-31594 [CVSS 3.1: 3.2]
Vulnerabilidad de escalada de privilegios en SAP Adaptive Server Enterprise (ASE)
- Producto afectado
- SAP Adaptive Server Enterprise (ASE); KERNEL 7.22, 7.49,7,53, KRNL64NUC 7,22, 7,22 EXT, 7,49, KRNL64UC 7,22, 7,22 EXT, 7,49, 7,5
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes
El listado de las CVE se adjunta a continuación:
Tags: #Parche #SAP #Patch Day #SAP NetWeave #Vulnerabilidad #SAP S.4Hana Core
| https://dam.sap.com/mac/app/e/pdf/preview/... |
- Productos Afectados
-
Producto Versión SAP Netweaver Developer Studio (NWDS) 7.50
SAP ERP C.ECO110 600
110 602
110 603
110 604
110 700P
SAP NetWeaver Development Infrastructure 7.30
7.31
7.40
7.50
SAP Financials SAP FIN 618
720
SAP NetWeaver, Plataforma ABAP y SAP Host Agent KERNEL 7.22
7.49
7.53
7.77
7.81
7.85
7.86
7.87
7.88
8.04
KRNL64NUC 7.22
7.22EXT
7.49
7.53
8.047
SAP.ROUTER7.53
7.22
SAPHOSTAGENT 7.22
SAP NetWeaver, ABAP Platform y KERNEL KRNL64NUC 7.22
7.22EXT
7.49
KRNL64UC
SAP PowerDesigner Proxy 16.7
SAP Adaptive Server Enterprise (ASE) KERNEL 7.22
7.49
7.53
KRNL64NUC 7.22
7.22EXT
7.49
KRNL64UC 7.22
7.22EXT
7.49
7.53
SAP 3D Visual Enterprise Viewer 9.0
SAP S.4Hana Core V S4CORE 100
101
102
103
104
105
106
107
108