Estimados Clientes,
El equipo de Ciberseguridad de Netglobalis informa sobre Patch Day de SAP octubre 2021
presenta afectaciones criticas de seguridad.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
Severidad Alta:
CVE-2021-40498: Denegación de servicio (DOS) en la aplicación móvil SAP SuccessFactors para dispositivos Android Producto – Aplicación móvil SAP SuccessFactors (para dispositivos Android), versiones – <2108
Severidad Media:
CVE-2021-40500: Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Reports) Producto – SAP BusinessObjects Business Intelligence Platform (Crystal Reports) , Versiones – 420, 430
CVE-2021-38179: Divulgación de información en SAP Business One Producto – SAP Business One , Versión – 10,0
CVE-2021-38180: CSV inyección en SAP Business One Producto – SAP Business One , Versión – 10,0
CVE-2021-38181: Denegación de servicio (DOS) en SAP NetWeaver AS ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756
CVE-2021-40499: Vulnerabilidad de inyección de código para SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint) Producto – SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint), versiones – 7.70, 7.70 PI, 7.70 BYD
CVE-2020-11023: Vulnerabilidad de Cross-Site Scripting (XSS) en SAPUI5 Relacionado con Producto – SAPUI5, Versiones – 750, 753, 754
CVE-2021-38183: Cross-Site Scripting (XSS) vulnerabilidad en cms Servicio de SAP NetWeaver Producto – SAP NetWeaver, Versiones – 700, 701, 702, 730
CVE-2021-40495: Denegación de servicio (DOS) en SAP NetWeaver Application Server para ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 740, 750, 751, 752, 753, 754, 755
CVE-2021-40497: Divulgación de información en SAP BusinessObjects Analysis (edición para OLAP) Producto – SAP BusinessObjects Analysis, (edición para OLAP), Versiones – 420, 430
CVE-2021-40496: Control de acceso inadecuado en SAP NetWeaver AS ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785
Solución:
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización.
Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuente:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983