Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de diciembre de 2022

Fecha de publicación 14/12/2022
Identificador

INCIBE-2022-1055

Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Client, versiones 6.5, 7.0 y 7.70;
  • SAP BusinessObjects Business Intelligence Platform, versiones 420 y 430;
  • SAP NetWeaver Process Integration, versión 7.50;
  • SAP Commerce, versiones 1905, 2005, 2105, 2011 y 2205;
  • SAP NetWeaver Process Integration, versión 7.50;
  • SAPBASIS, versiones 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790 y 791;
  • SAP Business Planning y Consolidation, versiones SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, DWCORE 200, 300 y CPMBPC 810;
  • SAP BusinessObjects Business Intelligence Platform (Program Objects) versiones 420 y 430;
  • SAP Commerce Webservices 2.0 (Swagger UI), versiones 1905, 2005, 2105, 2011 y 2205;
  • SAPUI5, versiones 754, 755, 756, 757 y CLIENT RUNTIME, versiones –600, 700, 800, 900 y 1000;

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Diciembre 2022.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, siendo 4 notas de severidad crítica, 3 de severidad alta y 6 de severidad media. También se han actualizado 5 notas de seguridad de meses anteriores.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • Server-Side Request Forgery (SSRF),
  • control de acceso inadecuado,
  • ejecución remota de código,
  • inyección de código,
  • escalada de privilegios,
  • Cross-Site Scriping (XSS).

Las vulnerabilidades de severidad crítica afectan a NetWeaver Process Integration SAP y BusinessObjects Business Intelligence Platformy, y podrían permitir hacer uso de una API abierta de nombres y directorios para acceder a servicios que podrían realizar operaciones no autorizadas o tomar el control total del sistema y provocar un impacto significativo en la confidencialidad, integridad y disponibilidad de la aplicación.

Encuesta valoración

Listado de referencias
SAP Security Patch Day December 2022
SAP Security Patch Day –December2022
Etiquetas