Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de diciembre de 2020

Fecha de publicación 09/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS JAVA, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS ABAP, versiones 620, 640, 700, 710, 730, 731, 740, 750, 751, 752, 753 y 754;
  • SAP BusinessObjects BI Platform (Crystal Report), versiones 4.1, 4.2 y 4.3;
  • SAP Business Warehouse, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 y 782;
  • SAP BW4HANA, versiones 100 y 200;
  • SAP S4 HANA, versiones 101, 102, 103, 104 y 105;
  • SAP Solution Manager, versión 7.20;
  • SAP Disclosure Management, versión 10.1;
  • SAP UI, versiones 7.5, 7.51, 7.52, 7.53 y 7.54;
  • SAP UI 700, versión 2.0;
  • SAP HANA Database, versión 2.0.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 2 actualizaciones de notas anteriores, siendo 3 de las nuevas notas de severidad crítica, 2 altas, 5 medias y 1 baja.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de inyección de código,
  • 2 vulnerabilidades de falta de comprobación de autorización,
  • 1 vulnerabilidad de Cross-Site Scripting (XSS),
  • 1 vulnerabilidad de limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal),
  • 1 vulnerabilidad de falta de autorización,
  • 1 vulnerabilidad de falta de validación de XML,
  • 6 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • Esta vulnerabilidad podría permitir a un atacante, no autenticado, que fuese capaz de conectarse a los respectivos puertos TCP, realizar diferentes acciones privilegiadas, tales como instalar nuevos proveedores de SSO de confianza, cambiar los parámetros de conexión de la base de datos y obtener acceso a la información de configuración. Se ha asignado el identificador CVE-2020-26829 para esta vulnerabilidad.
  • Esta vulnerabilidad podría permitir a un atacante, con privilegios básicos, inyectar entidades XML arbitrarias que llevarían a la divulgación de archivos y directorios internos, y permitirían ataques SSRF y DoS. Se ha asignado el identificador CVE-2020-26831 para esta vulnerabilidad.
  • Un atacante, con privilegios elevados, podría enviar peticiones, especialmente elaboradas, para generar y ejecutar código arbitrario sin ninguna interacción adicional del usuario y, por lo tanto, conllevando un potencial compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2020-26838 para esta vulnerabilidad.
  • La vulnerabilidad podría permitir que un atacante remoto inyectase y ejecutase un código arbitrario y, de esta manera, tomase el control completo del sistema afectado. Se ha asignado el identificador CVE-2020-26808 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-26837, CVE-2020-26830, CVE-2020-26832, CVE-2020-26826, CVE-2020-26828, CVE-2020-26816, CVE-2020-26835, CVE-2019-0388, CVE-2020-26834 y CVE-2020-26836.

Encuesta valoración