En su martes de Parches SAP ha publicado 6 nuevos avisos de seguridad que contemplan 8 vulnerabilidades. De estas, 4 son clasificadas con severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:
- SAP Enterprise Project Connection
- SAP BusinessObjects Business Intelligence Platform
- SAP Commerce Backoffice
- Product - SAP NetWeaver Enterprise Portal (KMC)
- SAP HANA Client
- Entre otros
Severidad Alta
CVE-2024-22259, CVE-2024-38809, CVE-2024-38808 [CVSSv3.1: 8.0]
Múltiples vulnerabilidades en SAP Enterprise Project Connection
Las aplicaciones que usan “UriComponentsBuilder” en Spring Framework para analizar una URL proporcionada externamente (por ejemplo, a través de un parámetro de consulta) y realizar comprobaciones de validación en el host de la URL analizada pueden ser vulnerables a un ataque de redireccionamiento abierto o a un ataque SSRF si la URL se usa después de pasar las comprobaciones de validación.
CVE-2024-37179 [CVSSv3.1: 7.7]
Vulnerabilidad de operaciones de archivos inseguras en SAP BusinessObjects Business Intelligence Platform (Web Intelligence)
SAP BusinessObjects Business Intelligence Platform, permite que un usuario autenticado envíe una solicitud especialmente diseñada al servidor de informes Web Intelligence, para descargar cualquier archivo de la máquina que aloja el servicio, lo que provoca un alto impacto en la confidencialidad de la aplicación.
Severidad Media
CVE-2024-45278 [CVSSv3.1: 5.4]
Vulnerabilidad de secuencias de comandos entre sitios (XSS)
SAP Commerce Backoffice no codifica lo suficiente las entradas controladas por el usuario, lo que genera una vulnerabilidad de tipo Cross-Site Scripting (XSS). Después de una explotación exitosa, un atacante puede causar un impacto limitado en la confidencialidad e integridad de la aplicación.
CVE-2024-47594 [CVSSv3.1: 5.4]
Vulnerabilidad de secuencias de comandos entre sitios (XSS) en SAP NetWeaver Enterprise Portal (KMC)
SAP NetWeaver Enterprise Portal (KMC) no codifica lo suficiente las entradas controladas por el usuario, lo que genera una vulnerabilidad de tipo Cross-Site Scripting en el servlet KMC. Un atacante podría crear un script y engañar al usuario para que haga clic en él. Cuando una víctima registrada en el portal hace clic en dicho enlace, la confidencialidad e integridad de su sesión de navegador web podrían verse comprometidas.
CVE-2024-45277 [CVSSv3.1: 4.3]
Vulnerabilidad de contaminación de prototipos
Las versiones del paquete de cliente SAP HANA Node.js de la 2.0.0 anterior a la 2.21.31 se ven afectadas por la vulnerabilidad de contaminación de prototipos, que permite a un atacante agregar propiedades arbitrarias a los prototipos de objetos globales. Esto se debe a una limpieza inadecuada de la entrada del usuario al utilizar la función nestTables, lo que tiene un impacto bajo en la disponibilidad de la aplicación. Esto no tiene impacto en la confidencialidad ni la integridad.
CVE-2024-45282 [CVSSv3.1: 4.3]
HTTP Verb Tampering en SAP S/4 HANA(Manage Bank Statements)
Los campos que están en estado «sólo lectura» en el Borrador de Extracto Bancario en la aplicación Gestionar Extractos Bancarios, podrían ser modificados por el método MERGE. La propiedad de una entidad OData que representa un método supuestamente inmutable no está protegida frente a modificaciones externas que provoquen violaciones de la integridad. La confidencialidad y la disponibilidad no se ven afectadas.
Plan de acción
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes Utilizadas
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2024.html
