El fabricante de software alemán SAP anunció esta semana el lanzamiento de 14 notas de seguridad nuevas y cinco actualizadas como parte de su Security Patch Day de diciembre de 2022 incluidas cuatro notas que abordan vulnerabilidades críticas en Business Client, BusinessObjects, NetWeaver y Commerce.
Con una puntuación CVSS de 10, la más severa de las notas de seguridad de SAP actualiza una nota publicada el Patch Day de abril de 2018 que trata sobre las actualizaciones de software para el navegador basado en Chrome en SAP Business Client.
Durante el mes pasado, Google anunció varias actualizaciones de Chrome, incluidos dos parches de emergencia que abordan las vulnerabilidades de día cero en las versiones 107 y 108 del navegador y SAP está tratando de mantenerse al día: la nota de seguridad aborda 34 vulnerabilidades incluidas 24 de alta gravedad.
La segunda nota de seguridad que SAP marcó como noticia importante (la clasificación de mayor gravedad en los libros de la empresa) resuelve una falsificación de solicitud del lado del servidor (SSRF) en la plataforma BusinessObjects.
Registrado como CVE-2022-41267 (puntuación CVSS de 9,9) la vulnerabilidad permite que un atacante con “privilegios de usuario de BI normales” reemplace cualquier archivo en el servidor BusinessObjects a nivel del sistema operativo, explica la empresa de seguridad de aplicaciones empresariales Onapsis.
“Esto permite que el atacante tome el control total del sistema y tiene un impacto significativo en la confidencialidad, integridad y disponibilidad de la aplicación” señala Onapsis.
La tercera nota de seguridad de noticias importantes en el Security Patch Day de diciembre de 2022 de SAP resuelve una vulnerabilidad crítica de control de acceso inadecuado en la búsqueda definida por el usuario de NetWeaver (CVE-2022-41272, puntaje CVSS de 9.9) que podría permitir a los atacantes realizar operaciones no autorizadas.
La última nota de noticias importantes que SAP publicó este mes trata sobre una vulnerabilidad de ejecución de comandos remotos asociado con Apache Commons Text en SAP Commerce (CVE-2022-42889, puntuación CVSS de 9,8).
También conocida como Text4Shell , la vulnerabilidad se reveló en octubre de 2022 y se comparó con la notoria vulnerabilidad Log4Shell aunque no está tan extendida.
Este mes, SAP también anunció el lanzamiento de cinco notas de seguridad de alta prioridad que resuelven vulnerabilidades en BASIS, Business Planning and Consolidation, BusinessObjects, Commerce y SAPUI5. Dos de estas son actualizaciones de notas publicadas en octubre y noviembre de 2022.
Las notas de seguridad restantes que SAP anunció en el Security Patch Day de diciembre de 2022 tratan sobre vulnerabilidades de gravedad media en Disclosure Management, NetWeaver, Solutions Manager, BusinessObjects, Sourcing y Contract Lifecycle Management.
Fuente: https://www.securityweek.com/saps-december-2022-security-updates-patch-critical-vulnerabilities
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.