Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de diciembre de 2024

Fecha de publicación 10/12/2024
Identificador
INCIBE-2024-0600
Importancia
5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS para JAVA (Adobe Document Services), versión ADSSSAP 7.50.
  • SAP NetWeaver Administrator (System Overview), versión LM-CORE 7.50
  • SAP NetWeaver AS JAVA, versión LM-CORE 7.50
  • SAP Web Dispatcher, versiones:
    • WEBDISP 7.77, 7.89, 7.93;
    • KERNEL 7.77, 7.89, 7.93, 9.12, 9.13.
  • SAP NetWeaver Application Server ABAP, versiones:
    • KRNL64NUC 7.22, 7.22EXT;
    • KRNL64UC 7.22, 7.22EXT, 7.53;
    • KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93.
  • SAP NetWeaver Application Server para ABAP y ABAP Platform, versiones:
    • KRNL64NUC 7.22 y 7.22EXT;
    • KRNL64UC 7.22, 7.22EXT, 7.53 y 8.04;
    • KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 y 9.13;
    • SAP_BASIS 740 y 750.
  • SAP BusinessObjects Business Intelligence platform, versiones: ENTERPRISE 430 y 2025.
  • SAP HCM, versión S4HCMGXX 101.
  • SAP Product Lifecycle Costing, versión: PLC_CLIENT 4.
  • SAP Commerce Cloud, versiones:
    • HY_COM 2205;
    • COM_CLOUD 2211.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 10 vulnerabilidades, una de severidad crítica, dos altas y el resto medias y bajas. Además, se actualizan 3 vulnerabilidades, dos con severidad alta y una media. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante comprometer los sistemas afectados.

Solución

SAP recomienda encarecidamente que el cliente visite el portal de Soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

En SAP NetWeaver AS for JAVA (Adobe Document Services) 7.50, un atacante con privilegios de administrador podría enviar peticiones personalizadas desde una aplicación web vulnerable, otorgando la posibilidad de atacar sistemas internos que normalmente se encuentran protegidos por cortafuegos y no son accesibles para atacantes externos. Si se explotara con éxito, el atacante podría leer o modificar cualquier archivo y/o hacer que todo el sistema no esté disponible. Se ha asignado el identificador CVE-2024-47578 para esta vulnerabilidad.

El resto de vulnerabilidades con identificador no crítico pueden consultarse en las referencias.

Listado de referencias
SAP Security Patch Day – December 2024
SAP Patch Day: December 2024
Etiquetas