En el martes de parches SAP de agosto 2023, se publicaron 14 nuevos avisos de seguridad para los productos SAP, los que contemplan 15 vulnerabilidades: 2 son de severidad Hot News, 6 son de Severidad Alta, 6 son de Severidad Media y 1 de severidad Baja.
Esta publicación contempla 14 avisos nuevos y 3 actualizaciones que ya fueron abordadas anteriormente.
CVE-2023-37483, CVE-2023-37484 [CVSS: 9.8]
Múltiples Vulnerabilities in SAP PowerDesigner
SAP PowerDesigner - versión 16.7, tiene un control de acceso incorrecto que podría permitir que un atacante no autenticado ejecute consultas arbitrarias contra la base de datos de back-end a través de Proxy.
CVE-2023-39439 [CVSS: 8.8]
Vulnerabilidad de autenticación incorrecta en SAP Commerce Cloud
SAP Commerce Cloud puede aceptar una passphrase vacía para la ID de usuario y la autenticación de passphrase, lo que permite a los usuarios iniciar sesión en el sistema sin una passphrase.
CVE-2023-36923 [CVSS: 7.8]
Vulnerabilidad de inyección de código en SAP PowerDesigner
Las versiones afectadas de SAP PowerDesigner pueden permitir que un atacante con acceso local al sistema coloque una biblioteca maliciosa que la aplicación puede ejecutar. De este modo, un atacante podría controlar el comportamiento de la aplicación.
CVE-2023-39437 [CVSS: 7.6]
Vulnerabilidad de Cross- Site Scripting (XSS) en SAP Business One
SAP Business One permite: la versión 10.0 permite que un usuario malintencionado inserte un código malicioso en el contenido de una página web o aplicación y lo entregue al cliente, lo que da como resultado secuencias de comandos entre sitios. Esto podría conducir a una acción maliciosa que afecte la confidencialidad, integridad y disponibilidad de la aplicación.
CVE-2023-37490 [CVSS: 7.6]
Vulnerabilidad de Binary hijack in SAP BusinessObjects Business Intelligence Suite (installer)
El Instalador de SAP Business Objects en las versiones 420, 430, permite que un atacante autenticado dentro de la red sobrescriba un archivo ejecutable creado en un directorio temporal durante el proceso de instalación. Al reemplazar este ejecutable con un archivo malicioso, un atacante puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.
CVE-2023-37491 [CVSS: 7.5]
Vulnerabilidad de verificación de autorización incorrecta en SAP Message Server
SAP Solution Manager permite que un atacante no autenticado ejecute solicitudes HTTP. en una explotación exitosa, el atacante puede causar un impacto limitado en la confidencialidad y disponibilidad de la aplicación y otras aplicaciones a las que puede acceder el agente de diagnóstico.
CVE-2023-33993 [CVSS: 7.1]
Vulnerabilidad de inyección SQL en SAP Business One (B1i Layer)
Las versiones afectadas de SAP Business One permiten a un usuario autenticado con un conocimiento extenso enviar consultas diseñadas a través de la red para leer o modificar los datos SQL. En una explotación exitosa, el atacante puede causar un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://www.sap.com/documents/2022/02/fa86... |
Producto | Versión |
---|---|
SAP PowerDesigner |
16.7 |
SAP Commerce |
HY_COM 2105 HY_COM 2205 COM_CLOUD 2211 |
SAP NetWeaver (BI CONT ADD ON) |
707 737 747 757 |
SAP NetWeaver Process Integration |
SAP_XIESR 7.50 SAP_XITOOL 7.50 SAP_XIAF 7.50 |
SAP NetWeaver AS ABAP and ABAP Platform |
SAP_BASIS 700 SAP_BASIS 701 SAP_BASIS 702 SAP_BASIS 731 SAP_BASIS 740 SAP_BASIS 750 SAP_BASIS 752 SAP_BASIS 753 SAP_BASIS 754 SAP_BASIS 755 SAP_BASIS 756 SAP_BASIS 757 SAP_BASIS 758 SAP_BASIS 793 SAP_BASIS 804 |
SAP Host Agent, |
7.22 |
SAP Business One |
10.0 |
SAP Business One (B1i Layer) |
10.0 |
SAP Business One (Service Layer) |
10.0 |
SAP BusinessObjects Business Intelligence (installer) |
420 430 |
SAP Message Server |
KERNEL 7.22 KERNEL 7.53 KERNEL 7.54 KERNEL 7.77 RNL64UC 7.22 RNL64UC 7.22EXT RNL64UC 7.53 KRNL64NUC 7.22 KRNL64NUC 7.22EX |
SAP Commerce (OCC API) |
HY_COM 2105 HY_COM 2205 COM_CLOUD 2211 |
SAP Supplier Relationship Management |
600 602 603 604 605 606 616 617 |