Actualización de seguridad de SAP de junio de 2023
INCIBE-2023-0222
- SAP UI5 Variant Management, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 200;
- SAP Plant Connectivity, versión 15.5;
- SAP NetWeaver, versión 7.50;
- SAP NetWeaver Enterprise Portal, versión 7.50;
- SAP CRM ABAP, versión 430;
- Master Data Synchronization, versiones SAP_APPL 600, 602, 603, 604, 605, 606 y 616;
- SAP NetWeaver, versiones 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad, siendo 2 de severidad alta y el resto medias y bajas.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
- neutralización inadecuada de código,
- ausencia de autenticación.
La primera vulnerabilidad, de severidad alta, que afecta a SAP UI5 Variant Management, no codifica correctamente las entradas controladas por el usuario al leer datos del servidor. La explotación de esta vulnerabilidad podría permitir a un atacante modificar información y provocar la indisponibilidad de la aplicación a nivel de usuario. Se ha asignado el identificador CVE-2023-33991 a esta vulnerabilidad.
La segunda vulnerabilidad, de severidad alta, no valida la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing, lo que podría permitir a un atacante enviar solicitudes de servicio afectando a la integración con SAP Digital Manufacturing. Se ha asignado el identificador CVE-2023-2827 a esta vulnerabilidad.