Actualización de seguridad de SAP de abril de 2024
- SAP NetWeaver AS Java User Management Engine, en sus versiones versiones: SERVERCORE 7.50, J2EE-APPS 7.50 y UMEADMIN 7.50.
- SAP BusinessObjects Web Intelligence, versiones 4.2 y 4.3.
- SAP Asset Accounting, en sus versiones: SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 y SAP_FIN700.
El resto de productos afectados por vulnerabilidades cuya severidad no es alta, pueden consultarse en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 3 de severidad alta y 7 medias. También, se han actualizado 2 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es alta son:
- mecanismo débil de recuperación de contraseñas olvidadas,
- exposición de información sensible a un agente no autorizado,
- limitación incorrecta de una ruta a un directorio restringido.
CVE-2024-27899: las acciones de auto-registro y modificación del perfil propio en User Admin Aplicación de NetWeaver AS Java, no hacen cumplir los requisitos de seguridad adecuados para el contenido de la respuesta de seguridad recién definido. Esto podría ser aprovechado por un atacante para causar un profundo impacto en la confidencialidad y un bajo impacto tanto en la integridad como en la disponibilidad.
CVE-2024-25646: debido a una validación incorrecta, SAP BusinessObject Business Intelligence Launch Pad podría permite a un atacante autenticado acceder a información del sistema operativo utilizando un documento especialmente diseñado. En caso de explotación exitosa, podría haber un impacto considerable en la confidencialidad de la aplicación.
CVE-2024-27901: SAP Asset Accounting podría permitir a un atacante con privilegios elevados aprovecharse de una validación insuficiente de la información de ruta proporcionada por los usuarios y pasarla a las API de archivos. Esto tendría un impacto considerable en la confidencialidad, integridad y disponibilidad de la aplicación.
