Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de agosto de 2024

Fecha de publicación 14/08/2024
Identificador
INCIBE-2024-0404
Importancia
5 - Crítica
Recursos Afectados
  • SAP BusinessObjects Business Intelligence Platform, versión ENTERPRISE 430 y 440.
  • SAP Build Apps, versiones anteriores a 4.11.130.

El resto de productos afectados por vulnerabilidades cuya severidad no es crítica pueden consultarse en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 17 notas de seguridad: 2 de severidad crítica, 4 altas y 19 medias. También, se han actualizado 8 notas de seguridad media de meses anteriores.

Las vulnerabilidades nuevas publicadas, cuya severidad es crítica, son:

  • CVE-2024-41730: en SAP BusinessObjects Business Intelligence Platform, si Single Signed On está habilitado en la autenticación corporativa, un usuario no autorizado puede obtener un token de inicio de sesión utilizando un endpoint REST. El atacante podría comprometer completamente el sistema resultando en un alto impacto en la confidencialidad, integridad y disponibilidad.
  • CVE-2024-29415: el paquete ip hasta la versión 2.0.1 para Node.js podría permitir un SSRF porque algunas direcciones IP (como 127.1, 01200034567, 012.1.2.3, 000:0:0000::01, y ::fFFf:127.0.0.1) están incorrectamente categorizadas como globalmente enrutables a través de isPublic. Este problema se debe a una corrección defectuosa de CVE-2023-42282.

El resto de vulnerabilidades no críticas pueden consultarse en las referencias.