Los equipos de seguridad de SAP han revelado el hallazgo de al menos 15 vulnerabilidades descubiertas en algunos de sus productos. La compañía recomienda a los clientes verificar la presencia de estas fallas y actualizar sus productos de ser necesario.
Las vulnerabilidades fueron detectadas y notificadas entre marzo y agosto de 2020.
A continuación se presenta un breve resumen de las fallas reportadas, además de sus claves de identificación según el Common Vulnerability Scoring System (CVSS).
- CVE-2020-6287: Múltiples fallas en SAP NetWeaver AS JAVA (Asistente de configuración de LM)
- CVE-2020-6284: Vulnerabilidad de scripts entre sitios (XSS) en SAP Netweaver
- CVE-2020-6294: Ausencia de verificación de autenticación en la plataforma SAP BusinessObjects Business Intelligence
- CVE-2020-6298: Falta la verificación de autorización en SAP Banking Services
- CVE-2020-6296: Vulnerabilidad de inyección de código en SAP NetWeaver y en la plataforma ABAP
- CVE-2020-6309: Ausencia de verificación de autenticación en SAP NetWeaver AS JAVA
- CVE-2020-6293: Ausencia de controles en la carga de archivos en SAP NetWeaver
- CVE-2020-6295: Vulnerabilidad de divulgación de información en SAP Adaptive Server Enterprise
- CVE-2020-6297: Vulnerabilidad de divulgación de información en SAP Data Intelligence
- CVE-2020-11022, CVE-2020-11023: Vulnerabilidades de scripts entre sitios (XSS) en jQuery, incluido con SAPUI5
- CVE-2020-9281, CVE-2019-11358: Dos vulnerabilidades en bibliotecas de código abierto utilizadas en SAP Commerce
- CVE-2020-6301: Ausencia de verificación de autorización en SAP ERP
- CVE-2020-6300: Vulnerabilidad de scripts entre sitios (XSS) en la plataforma SAP Business Objects Business Intelligence
- CVE-2020-6273: Ausencia de verificación de autorización en SAP S/4 HANA
- CVE-2020-6299: Vulnerabilidad de divulgación de información en SAP NetWeaver y en la plataforma ABAP
- CVE-2020-6310: Falla de divulgación de información en SAP NetWeaver y en la plataforma ABAP
Como puede apreciarse, la mayoría de estas fallas se relacionan con ataques de scripts entre sitios (XSS) y exposición de información confidencial. La más grave de estas vulnerabilidades (CVE-2020-6287) recibió un puntaje CVSS de 10/10, por lo que se le considera una falla crítica. Las siguientes 7 fallas recibieron puntajes entre 9/10 y 8/10. El puntaje del resto de los reportes oscila entre 3/10 y 4/10.
Los clientes que deseen conocer más detalles sobre las fallas reportadas pueden consultar el informe completo en las plataformas oficiales de SAP. Las actualizaciones deben ser instaladas a la brevedad para mitigar completamente cualquier intento de explotación.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.