Patch Day SAP – Agosto 2023
09 Agosto 2023Amenaza
En el martes de parches SAP de agosto 2023, se publicaron 14 nuevos avisos de seguridad para los productos SAP, los que contemplan 15 vulnerabilidades: 2 son de severidad Hot News, 6 son de Severidad Alta, 6 son de Severidad Media y 1 de severidad Baja.
Esta publicación contempla 14 avisos nuevos y 3 actualizaciones que ya fueron abordadas anteriormente.
CVE-2023-37483, CVE-2023-37484 [CVSS: 9.8]
Múltiples Vulnerabilities in SAP PowerDesigner
SAP PowerDesigner - versión 16.7, tiene un control de acceso incorrecto que podría permitir que un atacante no autenticado ejecute consultas arbitrarias contra la base de datos de back-end a través de Proxy.
CVE-2023-39439 [CVSS: 8.8]
Vulnerabilidad de autenticación incorrecta en SAP Commerce Cloud
SAP Commerce Cloud puede aceptar una passphrase vacía para la ID de usuario y la autenticación de passphrase, lo que permite a los usuarios iniciar sesión en el sistema sin una passphrase.
CVE-2023-36923 [CVSS: 7.8]
Vulnerabilidad de inyección de código en SAP PowerDesigner
Las versiones afectadas de SAP PowerDesigner pueden permitir que un atacante con acceso local al sistema coloque una biblioteca maliciosa que la aplicación puede ejecutar. De este modo, un atacante podría controlar el comportamiento de la aplicación.
CVE-2023-39437 [CVSS: 7.6]
Vulnerabilidad de Cross- Site Scripting (XSS) en SAP Business One
SAP Business One permite: la versión 10.0 permite que un usuario malintencionado inserte un código malicioso en el contenido de una página web o aplicación y lo entregue al cliente, lo que da como resultado secuencias de comandos entre sitios. Esto podría conducir a una acción maliciosa que afecte la confidencialidad, integridad y disponibilidad de la aplicación.
CVE-2023-37490 [CVSS: 7.6]
Vulnerabilidad de Binary hijack in SAP BusinessObjects Business Intelligence Suite (installer)
El Instalador de SAP Business Objects en las versiones 420, 430, permite que un atacante autenticado dentro de la red sobrescriba un archivo ejecutable creado en un directorio temporal durante el proceso de instalación. Al reemplazar este ejecutable con un archivo malicioso, un atacante puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.
CVE-2023-37491 [CVSS: 7.5]
Vulnerabilidad de verificación de autorización incorrecta en SAP Message Server
SAP Solution Manager permite que un atacante no autenticado ejecute solicitudes HTTP. en una explotación exitosa, el atacante puede causar un impacto limitado en la confidencialidad y disponibilidad de la aplicación y otras aplicaciones a las que puede acceder el agente de diagnóstico.
CVE-2023-33993 [CVSS: 7.1]
Vulnerabilidad de inyección SQL en SAP Business One (B1i Layer)
Las versiones afectadas de SAP Business One permiten a un usuario autenticado con un conocimiento extenso enviar consultas diseñadas a través de la red para leer o modificar los datos SQL. En una explotación exitosa, el atacante puede causar un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
- CVE-2023-37488 [CVSS: 6.1]
Vulnerabilidad de Cross. Site Scripting (XSS) en SAP NetWeaver Process Integration - CVE-2023-37486 [CVSS: 5.9]
Vulnerabilidad de divulgación de información en SAP Commerce (OCC API) - CVE-2023-39436 [CVSS: 5.8]
Vulnerabilidad de divulgación de información en SAP Supplier Relationship Management - CVE-2023-37487 [CVSS: 5.3]
Vulnerabilidad de configuración incorrecta de seguridad en SAP Business One (Service Layer) - CVE-2023-37492 [CVSS: 4.9]
Vulnerabilidad de verificación de autorización faltante en SAP NetWeaver AS ABAP y Plataforma ABAP - CVE-2023-39440 [CVSS: 4.4]
Vulnerabilidad de divulgación de información en SAP Plataforma BusinessObjects Business Intelligence Platform
- CVE-2023-36926 [CVSS: 3.7]
Vulnerabilidad de divulgación de información en SAP Host Agent
Mitigación
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes
El listado de las CVE se adjunta a continuación:
Tags: #Parche #SAP #Patch Day #Vulnerabilidad
| https://www.sap.com/documents/2022/02/fa86... |
- Productos Afectados
-
Producto Versión SAP PowerDesigner 16.7
SAP Commerce HY_COM 2105
HY_COM 2205
COM_CLOUD 2211
SAP NetWeaver (BI CONT ADD ON) 707
737
747
757
SAP NetWeaver Process Integration SAP_XIESR
7.50
SAP_XITOOL 7.50
SAP_XIAF 7.50
SAP NetWeaver AS ABAP and ABAP Platform SAP_BASIS 700
SAP_BASIS 701
SAP_BASIS 702
SAP_BASIS 731
SAP_BASIS 740
SAP_BASIS 750
SAP_BASIS 752
SAP_BASIS 753
SAP_BASIS 754
SAP_BASIS 755
SAP_BASIS 756
SAP_BASIS 757
SAP_BASIS 758
SAP_BASIS 793
SAP_BASIS 804
SAP Host Agent, 7.22
SAP Business One 10.0
SAP Business One (B1i Layer) 10.0
SAP Business One (Service Layer) 10.0
SAP BusinessObjects Business Intelligence (installer) 420
430
SAP Message Server KERNEL 7.22
KERNEL 7.53
KERNEL 7.54
KERNEL 7.77
RNL64UC 7.22
RNL64UC 7.22EXT
RNL64UC 7.53
KRNL64NUC 7.22
KRNL64NUC 7.22EX
SAP Commerce (OCC API) HY_COM 2105
HY_COM 2205
COM_CLOUD 2211
SAP Supplier Relationship Management 600
602
603
604
605
606
616
617