Actualización de seguridad de SAP de febrero de 2024
- SAP ABA (Application Basis), versiones: 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75I.
- SAP NetWeaver AS Java (User Admin Application), versión 7.50.
- SAP CRM WebClient UI, versiones: S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, S4FND 108, WEBCUIF 700, WEBCUIF 701, WEBCUIF 730, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 801.
- IDES Systems, todas las versiones.
El resto de productos afectados por vulnerabilidades, no críticas y altas, se pueden consultar en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 13 notas de seguridad, 1 de severidad crítica, 5 altas y 7 medias. También se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas, crítica y altas, publicadas son:
- Vulnerabilidad de inyección de código
- Vulnerabilidad de secuencias de comandos entre sitios (XSS)
- Vulnerabilidad XXE
- Validación de certificado incorrecta
La vulnerabilidad de severidad crítica CVE-2024-22131 implica que un atacante, autenticado como usuario con autorización de ejecución remota, puede utilizar una interfaz vulnerable. Esto le permite utilizar la interfaz para invocar una función de la aplicación para realizar acciones que normalmente no se le permitiría realizar. Dependiendo de la función ejecutada, el ataque puede leer o modificar cualquier dato del usuario/negocio y puede hacer que todo el sistema no esté disponible.
