La corporación de software alemana conocida por su software empresarial celebró su Día del parche de seguridad con el lanzamiento de 15 notas de seguridad y una actualización de una publicada anteriormente (para la vulnerabilidad RECON de máxima gravedad, CVE-2020-6287, en SAP NetWeaver AS JAVA). En total se hacen referencia a 19 vulnerabilidades con CVE asignado.
Se han proporcionado parches para fallas en una variedad de productos, que incluyen SAP ERP, SAP Business Objects Business Intelligence Platform, SAP S / 4 HANA y varios componentes de SAP NetWeaver.
CVE-2020-6284 SAP NetWeaver(crítica)
Un problema de secuencias de comandos entre sitios (XSS) en el componente Gestión del conocimiento de NetWeaver AS, que recibió el número de identificación CVE-2020-6284 y tiene una puntuación de gravedad crítica de 9/10.
CVE-2020-6294 SAP Business Objects Business Intelligence Platform (alta)
Se ha corregido una comprobación de autenticación faltante en BusinessObjects, la plataforma de inteligencia empresarial de SAP. Rastreado como CVE-2020-6294 , el error tiene una calificación de gravedad alta de 8.5 y afecta a las versiones 4.2 y 4.3.
CVE-2020-6298 SAP Banking Services
Una falta de comprobación de autorización de SAP Banking Services (Generic Market Data), permite que un usuario no autorizado muestre datos de mercado genéricos (GMD) de socios comerciales protegidos.
CVE-2020-6296 SAP NetWeaver (ABAP Server)
Una Vulnerabilidad de inyección de código en SAP NetWeaver (ABAP Server), un atacante podría controlar el comportamiento de la aplicación.
CVE-2020-6309 SAP NetWeaver AS JAVA
SAP NetWeaver AS JAVA tiene una falta de verificación de autenticación para un servicio web que permite al atacante enviar varias cargas útiles que conducen a una denegación de servicio.
CVE-2020-6293 SAP NetWeaver
SAP NetWeaver permite a un atacante no autenticado cargar un archivo malicioso y también acceder, modificar o hacer que los archivos existentes no estén disponibles, pero el impacto se limita a los archivos en sí y está restringido por otras políticas, como listas de control de acceso y otras restricciones de tamaño de archivo de carga, que conducen a la carga de archivos sin restricciones.
CVE-2020-6295 SAP Adaptive Server Enterprise
En determinadas condiciones, SAP Adaptive Server Enterprise, permite que un atacante acceda a información confidencial y divulgarla.
Actualización de seguridad para la vulnerabilidad RECON CVE-2020-6287
El desarrollador también actualizó la nota de seguridad del Patch Day de julio de 2020 para RECON, un problema crítico revelado por investigadores de la firma de ciberseguridad Onapsis, quienes dijeron que afectó a más de 40,000 clientes de SAP.
El nuevo CVE para este aviso es CVE-2020-6286, que afecta al asistente de configuración de LM en SAP NetWeaver AS Java. Se debe a una validación insuficiente de la ruta de entrada de un parámetro específico en el servicio web del producto. Si bien su puntaje de gravedad es medio (5.3 / 10), explotarlo no requiere autenticación y puede permitir que un atacante salte a otras carpetas después de descargar archivos comprimidos (ZIP) en un directorio específico.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://wiki.scn.sap.com/wiki/pages/viewpa... |
Producto | Versión |
---|---|
SAP NetWeaver (Knowledge Management) |
7.30 7.31 7.40 7.50 |
SAP Banking Services (Generic Market Data) |
400 450 500 |
SAP NetWeaver (ABAP Server) and ABAP Platform |
702 730 731 740 750 751 752 753 754 755 |
SAP NetWeaver AS JAVA (ENGINEAPI) (SERVERCORE) (J2EE-FRMW) |
7.10 7.11 |
SAP NetWeaver AS JAVA (WSRM) (LM Configuration Wizard) |
7.10 7.11 7.20 7.30 7.31 7.40 7.50 |
SAP Adaptive Server Enterprise |
16.0 |
SAP Data Intelligence |
3 |
SAPUI5 (UISAPUI5_JAVA) |
7.50 |
SAPUI5 (SAP_UI) |
750 751 752 753 754 755 |
SAPUI5 (UI_700) |
200 |
SAP Commerce |
6.7 1808 1811 1905 2005 |
SAP ERP (HCM Travel Management) |
600 602 603 604 605 606 607 608 |
SAP Business Objects Business Intelligence Platform (Central Management Console) |
4.2 4.3 |
SAP S 4 HANA (Fiori UI for General Ledger Accounting) |
103 104 |