Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de marzo de 2020

Fecha de publicación 11/03/2020
Importancia
5 - Crítica
Recursos Afectados
  • SAP Solution Manager (User Experience Monitoring y Diagnostics Agent), versión 7.2;
  • SAP Business Client, versión 6.5;
  • SAP NetWeaver:
    • UDDI Server (Services Registry), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • AS ABAP Business Server Pages (Smart Forms) SAP_BASIS, versiones 7.00, 7.01, 7.02, 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53 y 7.54;
    • Application Server Java (User Management Engine), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50.
  • SAP Business Objects Business Intelligence Platform (Crystal Reports), versiones 4.1 y 4.2;
  • SAP Disclosure Management, versión 10.1;
  • SAP BusinessObjects Mobile (MobileBIService), versión 4.2;
  • SAP MaxDB (liveCache), versiones 7.8 y 7.9;
  • SAP Commerce Cloud:
    • Testweb Extension, versiones 6.6, 6.7, 1808, 1811 y 1905;
    • SmartEdit Extension, versiones 6.6, 6.7, 1808 y 1811.
  • SAP ERP (EAPPGLO), versión 607;
  • SAP Enable Now, versiones anteriores a 1911;
  • SAP Fiori Launchpad, versiones 753 y 754;
  • SAP Cloud Platform Integration para Data Services, versión 1.0;
  • SAP Treasury y Risk Management (Transaction Management), versiones EA-FINSERV 600, 603, 604, 605, 606, 616, 617, 618, 800, S4CORE 101, 102, 103 y 104.
Descripción

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 16 notas de seguridad de las cuales, 2 son actualizaciones de notas de seguridad publicadas con anterioridad, 3 de severidad crítica, 3 de severidad alta y 10 de severidad media.

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 4 vulnerabilidades de XSS (Cross-Site Scripting),
  • 3 vulnerabilidades de falta de comprobación de autenticación,
  • 2 vulnerabilidades de falta de comprobación,
  • 1 vulnerabilidad de inyección SQL,
  • 1 vulnerabilidad de ejecución remota de código (RCE),
  • 1 vulnerabilidad de acceso a rutas no controlado,
  • 1 vulnerabilidad de denegación de servicio (DoS),
  • 5 vulnerabilidades de otro tipo.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-6207, CVE-2020-6198, CVE-2020-6203, CVE-2020-6208, CVE-2020-6209, CVE-2020-6196, CVE-2018-2450, CVE-2020-6201, CVE-2020-6205, CVE-2020-6202, CVE-2020-6199, CVE-2020-6178, CVE-2020-6210, CVE-2020-6206, CVE-2020-6204 y CVE-2020-6197.

Encuesta valoración