Nuevo martes de parches en productos SAP

09 Diciembre 2020
Crítico

Para el martes de parches de diciembre del 2020, SAP publicó 11 notas de seguridad y actualizó 2 publicadas anteriormente. Los parches más críticos afectan a productos SAP NetWeaver AS Java, SAP BusinessObjects BI Platform y SAP Business Warehouse.

Hot News

  • Falta de autenticación Entradas SAP NetWeaver AS Java ( P2P Cluster Comunicación) CVE-2020-26829 puntuación CVSS: 10.

La vulnerabilidad existe debido a un error al procesar solicitudes de autenticación dentro del componente P2P Cluster Communication. Un atacante remoto puede eludir el proceso de autenticación y obtener acceso no autorizado a la aplicación.

  • Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Report) CVE-2020-26831 puntuación CVSS: 9,6.

La vulnerabilidad existe debido a una validación insuficiente de la entrada XML proporcionada por el usuario dentro del componente Crystal Report. Un usuario remoto sin privilegios puede pasar un código XML especialmente diseñado a la aplicación afectada y ver el contenido de archivos arbitrarios en el sistema o iniciar solicitudes a sistemas externos.

  • Código vulnerabilidad de inyección en SAP Business Warehouse (Master Data Management) y SAP BW4HANA CVE-2020-26838 puntuación CVSS: 9,1.

La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente de gestión de datos maestros. Un usuario remoto con privilegios puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

Severidad alta

  • Verificación de recorrido de ruta y autorización faltante en SAP Solution Manager 7.2 (Monitoreo de la experiencia del usuario) CVE-2020-26837 /  CVE-2020-26830 puntuación CVSS: 8,5.
  • Falta de comprobación de autorización en SAP NetWeaver AS ABAP y SAP HANA S4 (SAP transformación del paisaje) CVE-2020-26832 puntuación CVSS: 7,6

Severidad media

  • Sin restricciones carga de archivos de vulnerabilidad en SAP NetWeaver Application Server para Java (proceso de integración de Monitoreo) CVE-2020-26826 puntuación CVSS: 6,5.
  • Fórmula inyección en SAP Divulgación de Gestión CVE-2020-26828 puntuación CVSS: 5,4.
  • Missing cifrado en SAP NetWeaver AS Java (Servicio de almacenamiento de claves) CVE-2020-26816 puntuación CVSS: 5,4. 
  • Cross-Site Scripting (XSS vulnerabilidad) en SAP NetWeaver AS ABAP CVE-2020-26835 puntuación CVSS: 5,3.
  • Autenticación incorrecta en el producto de base de datos SAP HANA CVE-2020-26834 puntuación CVSS: 4,2.

Severidad Baja

  • Open Redirect in SAP Solution Manager (Trace Analysis) CVE-2020-26836 puntuación CVSS: 3,4.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #SAP #Parche #PatchDay #HotNews #CVE-2020-26816 #CVE-2020-26826 #CVE-2020-26828 #CVE-2020-26829 #CVE-2020-26830 #CVE-2020-26831 #CVE-2020-26832 #CVE-2020-26834 #CVE-2020-26835 #CVE-2020-26836 #CVE-2020-26837 #CVE-2020-26838


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.