Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de marzo de 2023

Fecha de publicación 15/03/2023
Identificador

INCIBE-2023-0097

Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Objects Business Intelligence Platform (CMC), versiones 420 y 430.
  • SAP NetWeaver AS for Java, versión 7.50.
  • SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 y 791.
  • SAP NetWeaver AS for ABAP and ABAP Platform (SAPRSBRO Program), versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
  • SAP Business Objects (Adaptive Job Server), versiones 420 y 430.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Marzo 2023.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 4 de severidad alta y el resto medias.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • inyección de código,
  • control de acceso inadecuado,
  • limitación incorrecta de la ruta a un directorio restringido
  • ejecución de comandos en SO.

Dos de las cinco nuevas notas de severidad crítica afectan a SAP Business Objects (SAP BO) Intelligence Platform. Su explotación podría permitir a un atacante inyectar código arbitrario con un fuerte impacto negativo en la integridad, la confidencialidad y la disponibilidad del sistema (CVE-2023-25616 y CVE-2023-23857).

Otra de las notas de severidad crítica afecta al sistema operativo SAP BO Adaptive Job Server y su explotación podría permitir la ejecución de comandos arbitrarios a través de la red. La vulnerabilidad solo afecta a las instalaciones de SAP BO en plataformas UNIX (CVE-2023-25617).

Las otras dos vulnerabilidades críticas restantes podrían permitir a un atacante con autorizaciones no administrativas sobrescribir archivos arbitrarios críticos y el acceso a archivos que no están asignados a un nombre de archivo lógico en el sistema (CVE-2023-27500 y CVE-2023-27269).

Encuesta valoración