Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de diciembre de 2023

Fecha de publicación 13/12/2023
Identificador
INCIBE-2023-0559
Importancia
5 - Crítica
Recursos Afectados
  • Business Technology Platform (BTP) Security Services Integration Libraries:
    • Library-@sap/xssec, versiones anteriores a 3.6.0.
    • Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
    • Library-sap-xssec, versiones anteriores a 4.1.0.
    • Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.

El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de severidad crítica, 4 altas, 7 medias y 2 bajas. También, se han actualizado 3 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas, crítica y altas, publicadas son:

  • escalada de privilegios,
  • control de acceso inadecuado,
  • Cross-Site Scripting (XSS),
  • divulgación de información,
  • falta de validación.

La vulnerabilidad de severidad crítica detectada afecta a la escalada de privilegios de la aplicación SAP Business Technology Platform (SAP BTP). Viéndose vulneradas librerías de integración de servicios de seguridad de SAP BTP diseñadas para simplificar la integración de los servicios de seguridad de SAP BTP como el Servicio de gestión de confianza y autorización de SAP (XSUAA) y otros servicios de identidad. Su explotación permite que un atacante, no autenticado, obtenga permisos arbitrarios, lo que genera un alto impacto en la confidencialidad e integridad de la aplicación. 

Se han asignado los identificadores CVE-2023-49583, CVE-2023-50422, CVE-2023-50423 y CVE-2023-50424 para las vulnerabilidades de severidad alta.