Patch Day de SAP soluciona Múltiples vulnerabilidades

10 Septiembre 2020
Crítico

SAP marcó su día de parches de septiembre al publicar 10 notas de seguridad y actualizaciones de otras seis publicadas anteriormente (para SAP Solution Manager, SAP NetWeaver, SAPUI5 y SAP NetWeaver AS JAVA).

Se han proporcionado parches para fallas recientemente corregidas en una variedad de ofertas, que incluyen SAP Marketing, SAP NetWeaver, SAP Bank Analyzer, SAP S / 4HANA Financial Products, SAP Business Objects Business Intelligence Platform y otras .

Dos notas de seguridad publicadas esta semana abordan vulnerabilidades de riesgo crítico, 7 medio y 1 baja.

Notas de seguridad Hot News

CVE-2020-6320 SAP Marketing (Mobile Channel Servlet)

Mobile Channel Servlet habilita campañas móviles en las que se envían notificaciones push a dispositivos Android e iOS a través de Google Firebase. La falla crítica abordada esta semana permite que un atacante autenticado acceda a funciones restringidas.

CVE-2020-6318 SAP NetWeaver (ABAP Server) and ABAP Platform

Una falla de inyección de código en NetWeaver permitiría a un atacante tomar el control completo de la aplicación. Por lo tanto, el atacante podría ver, cambiar o eliminar datos a través del código inyectado en la memoria y ejecutado por la aplicación, o podría hacer que la aplicación finalice.

Además, SAP actualizó otras dos notas de seguridad de Hot News, una que aborda una verificación de autorización faltante en Solution Manager (CVE-2020-6207, puntuación CVSS de 10) y otra que trata de las actualizaciones de seguridad para el navegador Chromium en Business Client (puntuación CVSS de 9,8).

Otras dos notas de seguridad de prioridad media abordan múltiples vulnerabilidades en BusinessObjects Business Intelligence Platform (CVE-2020-6325, CVE-2020-6312 y CVE-2020-6288) y 3D Visual Enterprise Viewer (38 CVE).

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #SAP #parche #NetWeaver #abap #Mobile #Channel #Servlet


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.