Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de enero de 2023

Fecha de publicación 11/01/2023
Identificador

INCIBE-2023-0007

Importancia
5 - Crítica
Recursos Afectados
  • BPC MS 10.0, versiones 800, 810;
  • BusinessObjects Business Intelligence platform (Analysis edition for OLAP y Central management console), versiones 420, 430;
  • NetWeaver Process Integration, versión 7.50;
  • BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad), versiones 4.2, 4.3;
  • NetWeaver AS for Java, versión 7.50;
  • NetWeaver ABAP Server y ABAP Platform, versiones SAP_BASIS 700, 701, 702,710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22, 7.22EXT;

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Enero 2023.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad, siendo 4 notas de severidad crítica, 5 de severidad media. También se han actualizado 3 notas de seguridad de meses anteriores.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • inyección SQL,
  • inyección de código,
  • control de acceso inadecuado,
  • capture-replay.

Las 4 vulnerabilidades de severidad crítica afectan a BPC MS 10.0 BusinessObjects, Business Intelligence platform, NetWeaver AS for Java y NetWeaver ABAP Server and ABAP Platform, y podrían causar un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación. También, podrían permitir a un atacante no autenticado ejecutar consultas de base de datos manipuladas o permitir a los usuarios maliciosos obtener acceso ilegítimo a un sistema SAP.

Encuesta valoración