Actualización de seguridad de SAP de enero de 2024

Fecha de publicación 10/01/2024
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Application Studio, SAP Web IDE Full-Stack y SAP Web IDE for SAP HANA:
    • Library- @sap/xssec, versiones anteriores a la 3.6.0.
    • Library- @sap/approuter, versión 14.4.2.
  • SAP Edge Integration Cell, versión 8.9.13 y anteriores.

El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad crítica, 4 altas, 3 medias y 1 baja. También, se han actualizado 2 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas, crítica y medias, publicadas son:

  • escalada de privilegios,
  • inyección de código,
  • denegación de servicio,
  • divulgación de información.

La vulnerabilidad CVE-2023-49583 de severidad crítica detectada afecta a la escalada de privilegios de la aplicación SAP Business Application Studio, SAP Web IDE Full-Stack o SAP Web IDE para SAP HANA. Estas aplicaciones también pueden verse afectadas por CVE-2023-4958, ya que sus dependencias pueden hacer referencia a versiones vulnerables de las bibliotecas @sap/approuter y @sap/xssec.

La vulnerabilidad CVE-2023-50422 de severidad crítica detectada afecta a la escalada de privilegios en SAP Edge Integration Cell. Esta aplicación también puede verse afectada por la vulnerabilidad CVE-2023-4958.