Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de junio de 2024

Fecha de publicación 11/06/2024
Identificador
INCIBE-2024-0306
Importancia
4 - Alta
Recursos Afectados
  • SAP Financial Consolidation, versión FINANCE 1010;
  • SAP NetWeaver AS Java, versión MMR_SERVER 7.5.

El resto de productos afectados por vulnerabilidades, cuya severidad no es alta, pueden consultarse en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad alta, 7 de severidad media y 1 baja. También se han actualizado 2 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta, son:

  • Cross-Site Scripting (XSS);
  • denegación de servicio (DoS).

CVE-2024-37177: SAP Financial Consolidation permite que los datos entren en una aplicación web a través de una fuente no fiable. Estos endpoints están expuestos a través de la red y podrían permitir al usuario modificar el contenido desde el sitio web. Si se explota con éxito, un atacante podría causar un impacto significativo en la confidencialidad e integridad de la aplicación.

CVE-2024-34688: debido al acceso sin restricciones a los servicios de repositorio de metamodelos en SAP NetWeaver AS Java, los atacantes podrían realizar ataques DoS en la aplicación, lo que podría impedir que los usuarios legítimos accedan a ella. Esto puede resultar en ningún impacto en la confidencialidad y la integridad, pero un alto impacto en la disponibilidad de la aplicación.