Actualización de seguridad de SAP de diciembre de 2023
- Business Technology Platform (BTP) Security Services Integration Libraries:
- Library-@sap/xssec, versiones anteriores a 3.6.0.
- Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
- Library-sap-xssec, versiones anteriores a 4.1.0.
- Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de severidad crítica, 4 altas, 7 medias y 2 bajas. También, se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas, crítica y altas, publicadas son:
- escalada de privilegios,
- control de acceso inadecuado,
- Cross-Site Scripting (XSS),
- divulgación de información,
- falta de validación.
La vulnerabilidad de severidad crítica detectada afecta a la escalada de privilegios de la aplicación SAP Business Technology Platform (SAP BTP). Viéndose vulneradas librerías de integración de servicios de seguridad de SAP BTP diseñadas para simplificar la integración de los servicios de seguridad de SAP BTP como el Servicio de gestión de confianza y autorización de SAP (XSUAA) y otros servicios de identidad. Su explotación permite que un atacante, no autenticado, obtenga permisos arbitrarios, lo que genera un alto impacto en la confidencialidad e integridad de la aplicación.
Se han asignado los identificadores CVE-2023-49583, CVE-2023-50422, CVE-2023-50423 y CVE-2023-50424 para las vulnerabilidades de severidad alta.