SAP lanza una alerta crítica de seguridad
El equipo de Ciberseguridad de Netglobalis informa que SAP lanza una alerta critica de seguridad para varios de sus Productos. SAP publicó 13 avisos de seguridad para sus productos, los cuales contienen 9 vulnerabilidades Hot News, 2 Altas, 8 Medias y 1 Baja. Además, se contabilizan 5 actualizaciones de parches publicados con anterioridad.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
Vulnerabilidades:
CVE-2022-22536 [CVSS:10] Contrabando de solicitudes y concatenación de solicitudes en SAP NetWeaver, SAP Content Server y SAP Web Dispatcher.
Productos afectados
- SAP Web Dispatcher; 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
- SAP Content Server 7.53
- Plataforma SAP NetWeaver y ABAP; KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL624NUC, 7.22EXT, 7.49
CVE-2021-44228, CVE-2021-45046, CVE-2021-4510 y CVE-2021-44832[CVSS:10] Vulnerabilidad de ejecución remota de código asociada con el componente Apache Log4j 2 utilizado en CVE.
Productos afectados
· SAP Commerce; 905, 2005, 2105, 2011
CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105[CVSS:10] Vulnerabilidad de ejecución remota de código asociada con el componente Apache Log4j 2 utilizado en SAP Data Intelligence 3 (on-premise).
Productos afectados
· SAP Data Intelligence; 3
CVE-2022-22544[CVSS:9.1] Falta la segregación de funciones en SAP Solution Manager Diagnostics Root Cause Analysis Tools.
Productos afectados
· SAP Solution Manager (Diagnostics Root Cause Analysis Tools); 720
SEGURIDAD ALTA
CVE-2022-22532 [CVSS: 8.1] Contrabando de solicitudes HTTP en SAP NetWeaver Application Server Java.
Productos afectados
· SAP NetWeaver Application Server Java; KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53
CVE-2022-22540 [CVSS: 7.1] Vulnerabilidad de inyección SQL en SAP NetWeaver AS ABAP (Workplace Server).
Productos afectados
· SAP NetWeaver AS ABAP (Workplace Server); 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 787
SEGURIDAD MEDIA
CVE-2022-22534 [CVSS: 4.7] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver.
Productos afectados
· SAP NetWeaver (servidores de aplicaciones ABAP y Java); 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756
CVE-2022-22535 [CVSS: 6.5] Falta verificación de autorización en SAP ERP HCM.
Productos afectados
· SAP ERP HCM (Portugal); 600, 604, 608
CVE-2022-22546 [CVSS: 5.4] Vulnerabilidad XSS en SAP Business Objects Web Intelligence (BI Launchpad).
Productos afectados
· SAP Business Objects Web Intelligence (BI Launchpad); 420
CVE-2022-22537, CVE-2022-22539 y CVE-2022-22538 [CVSS: 4.3] Validación de entrada incorrecta en SAP 3D Visual Enterprise Viewer.
Productos afectados
· SAP 3D Visual Enterprise Viewer; 9.0
CVE-2022-22528 [CVSS: 5.6] Divulgación de información en SAP Adaptive Server Enterprise.
Productos afectados
· SAP Adaptive Server Enterprise; 16.0
CVE-2022-22542 [CVSS: 6.5] Vulnerabilidad de divulgación de información en SAP S/4HANA (ficha técnica de proveedores y búsqueda empresarial de socios comerciales, proveedores y clientes).
Productos afectados
· SAP S/4HANA (ficha informativa de proveedores y búsqueda empresarial de socios comerciales, proveedores y clientes); 104, 105, 106
SEGURIDAD BAJA
CVE-2022-22543 [CVSS: 3.7] Denegación de servicio (DOS) en SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel)
Productos afectados
· SAP NetWeaver Application Server para ABAP (Kernel) y ABAP Platform (Kernel); KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
Mitigación:
Se recomienda lo siguiente: Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes. https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022