Ciberseguridad: Vulnerabilidad Patch Day de SAP, Octubre 2021

Estimados Clientes,

El equipo de Ciberseguridad de Netglobalis informa sobre Patch Day de SAP octubre 2021

presenta afectaciones criticas de seguridad.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Severidad Alta:

CVE-2021-40498: Denegación de servicio (DOS) en la aplicación móvil SAP SuccessFactors para dispositivos Android Producto – Aplicación móvil SAP SuccessFactors (para dispositivos Android), versiones – <2108

Severidad Media:

CVE-2021-40500: Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Reports) Producto – SAP BusinessObjects Business Intelligence Platform (Crystal Reports) , Versiones – 420, 430

CVE-2021-38179: Divulgación de información en SAP Business One Producto – SAP Business One , Versión – 10,0

CVE-2021-38180: CSV inyección en SAP Business One Producto – SAP Business One , Versión – 10,0

CVE-2021-38181: Denegación de servicio (DOS) en SAP NetWeaver AS ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

CVE-2021-40499: Vulnerabilidad de inyección de código para SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint) Producto – SAP NetWeaver Application Server para ABAP (SAP Cloud Print Manager y SAPSprint), versiones – 7.70, 7.70 PI, 7.70 BYD

CVE-2020-11023: Vulnerabilidad de Cross-Site Scripting (XSS) en SAPUI5 Relacionado con Producto – SAPUI5, Versiones – 750, 753, 754

CVE-2021-38183: Cross-Site Scripting (XSS) vulnerabilidad en cms Servicio de SAP NetWeaver Producto – SAP NetWeaver, Versiones – 700, 701, 702, 730

CVE-2021-40495: Denegación de servicio (DOS) en SAP NetWeaver Application Server para ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 740, 750, 751, 752, 753, 754, 755

CVE-2021-40497: Divulgación de información en SAP BusinessObjects Analysis (edición para OLAP) Producto – SAP BusinessObjects Analysis, (edición para OLAP), Versiones – 420, 430

CVE-2021-40496: Control de acceso inadecuado en SAP NetWeaver AS ABAP y producto de plataforma ABAP – SAP NetWeaver AS ABAP y plataforma ABAP, versiones – 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785

Solución:

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización.

Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Fuente:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983