Patch Day de SAP soluciona Múltiples vulnerabilidades

14 Octubre 2020
Crítico

El proveedor de software empresarial SAP marcó el martes de parches de Octubre al publicar 15 notas de seguridad y actualizaciones de seis publicadas anteriormente.

Las notas de seguridad publicadas esta semana abordan 1 vulnerabilidad de riesgo crítico, 3 altas, 10 medias y 1 baja.

CVE-2020-6364  Vulnerabilidad de OS Command Injection 

La más grave de esta publicación es una vulnerabilidad de inyección de comandos del sistema operativo que afecta a SAP Solution Manager (CA Introscope Enterprise Manager) y SAP Focused Run (CA Introscope Enterprise Manager). Esta vulnerabilidad obtiene 10 puntos, el máximo en gravedad clasificándola en riesgo Crítico.

Notas de seguridad altas

CVE-2020-6367: Vulnerabilidad Cross-Site Scripting (XSS) en SAP NetWeaver Composite Application Framework

CVE-2020-6366: Falta de validación XML en SAP NetWeaver (Compare Systems)

CVE-2020-6369: Credenciales Hard-coded en CA Introscope Enterprise Manager (Productos afectados: SAP Solution Manager and SAP Focused Run)

Otras diez notas de seguridad de prioridad media abordan múltiples vulnerabilidades en SAP Commerce Cloud, Business Planning and Consolidation, Banking Services y SAP 3D Visual Enterprise Viewer (CVE-2020-6315 con adicional CVE:  CVE-2020-6372, CVE-2020-6373, CVE-2020-6374, CVE-2020-6375, CVE-2020-6376 ) 

Se recomienda lo siguiente:

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #SAP #parche #NetWeaver #Introscope #Enterprise #Focused


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.