Avisos INCIBE-CERT 20230913

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 19 notas de seguridad, siendo 5 notas de severidad crítica, 1 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

• omisión de autenticación,
• validación de entrada insuficiente,
• divulgación de información,
• limitación incorrecta de la ruta a un directorio restringido.

Dos de las vulnerabilidades críticas afectan a SAP Diagnostics Agent y permiten que un usuario no autenticado ejecute scripts en todos los agentes de diagnóstico conectados a SAP SolutionManager. Junto con una validación de entrada insuficiente, los atacantes podrían ejecutar comandos maliciosos en todos los sistemas SAP monitoreados, lo que tendría un gran impacto en su confidencialidad, integridad y disponibilidad. Se ha asignado el identificador CVE-2023-27497 a estas vulnerabilidades.

Otra de las vulnerabilidades críticas afecta a SAP BusinessObjects Business Intelligence Platform (gestión de promociones), que tras de descifrar con éxito su contenido, el atacante podría obtener acceso a las contraseñas de los usuarios de BI. Dependiendo de las autorizaciones del usuario suplantado, un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2023-28765 a esta vulnerabilidad.