Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de junio de 2023

Fecha de publicación 14/06/2023
Identificador

INCIBE-2023-0222

Importancia
4 - Alta
Recursos Afectados
  • SAP UI5 Variant Management, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 200;
  • SAP Plant Connectivity, versión 15.5;
  • SAP NetWeaver, versión 7.50;
  • SAP NetWeaver Enterprise Portal, versión 7.50;
  • SAP CRM ABAP, versión 430;
  • Master Data Synchronization, versiones SAP_APPL 600, 602, 603, 604, 605, 606 y 616;
  • SAP NetWeaver, versiones 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 y 757.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad, siendo 2 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • neutralización inadecuada de código,
  • ausencia de autenticación.

La primera vulnerabilidad, de severidad alta, que afecta a SAP UI5 Variant Management, no codifica correctamente las entradas controladas por el usuario al leer datos del servidor. La explotación de esta vulnerabilidad podría permitir a un atacante modificar información y provocar la indisponibilidad de la aplicación a nivel de usuario. Se ha asignado el identificador CVE-2023-33991 a esta vulnerabilidad.

La segunda vulnerabilidad, de severidad alta, no valida la firma del JSON Web Token (JWT) en la solicitud HTTP enviada desde SAP Digital Manufacturing, lo que podría permitir a un atacante enviar solicitudes de servicio afectando a la integración con SAP Digital Manufacturing. Se ha asignado el identificador CVE-2023-2827 a esta vulnerabilidad.