Actualización de seguridad de SAP de julio de 2024
- SAP PDCE;
- SAP Commerce.
El resto de productos afectados por vulnerabilidades, cuya severidad no es alta, pueden consultarse en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 16 notas de seguridad: 2 de severidad alta, 13 de severidad media y 1 baja. También se han actualizado 2 notas de seguridad media de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:
- falta de autorización;
- autorización indebida.
CVE-2024-39592: SAP PDCE no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que podría provocar una escalada de privilegios. Esto permitiría a un atacante leer información sensible causando un alto impacto en la confidencialidad de la aplicación.
CVE-2024-34688: en SAP Commerce, un usuario podría utilizar maliciosamente la funcionalidad de contraseña olvidada para obtener acceso a un sitio B2B de Composable Storefront para el que esté activado el inicio de sesión anticipado y el registro, sin que el comerciante tenga que aprobar la cuenta de antemano. Si el sitio no está configurado como sitio aislado, esto también podría permitir el acceso a otros sitios de inicio de sesión anticipado no aislados, incluso si el registro no está activado para esos otros sitios.
