Actualización de seguridad de SAP de junio de 2024
- SAP Financial Consolidation, versión FINANCE 1010;
- SAP NetWeaver AS Java, versión MMR_SERVER 7.5.
El resto de productos afectados por vulnerabilidades, cuya severidad no es alta, pueden consultarse en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad alta, 7 de severidad media y 1 baja. También se han actualizado 2 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:
- Cross-Site Scripting (XSS);
- denegación de servicio (DoS).
CVE-2024-37177: SAP Financial Consolidation permite que los datos entren en una aplicación web a través de una fuente no fiable. Estos endpoints están expuestos a través de la red y podrían permitir al usuario modificar el contenido desde el sitio web. Si se explota con éxito, un atacante podría causar un impacto significativo en la confidencialidad e integridad de la aplicación.
CVE-2024-34688: debido al acceso sin restricciones a los servicios de repositorio de metamodelos en SAP NetWeaver AS Java, los atacantes podrían realizar ataques DoS en la aplicación, lo que podría impedir que los usuarios legítimos accedan a ella. Esto puede resultar en ningún impacto en la confidencialidad y la integridad, pero un alto impacto en la disponibilidad de la aplicación.