Actualización de seguridad de SAP de marzo de 2024
- SAP Build Apps, versiones anteriores a 4.9.145;
- SAP NetWeaver AS Java (Administrator Log Viewer plug-in), versión 7.50;
- SAP HANA Database, versión 2.0;
- SAP HANA Extended Application Services Advanced (XS Advanced), versión 1.0;
- SAP BusinessObjects Business Intelligence Platform (Central Management Console), versión 4.3.
El resto de productos afectados por vulnerabilidades, no críticas y altas, se pueden consultar en las referencias.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad: 2 de severidad crítica, 2 altas y 6 medias. También, se han actualizado 2 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas, críticas y altas, publicadas son:
- inyección de código,
- denegación de servicio,
- recorrido de ruta.
La vulnerabilidad CVE-2019-10744 de severidad crítica detectada afecta a la biblioteca de utilidades 'lodash' que podría permitir a un atacante ejecutar comandos no autorizados en el sistema, lo que puede tener un impacto bajo en la confidencialidad y un impacto alto en la integridad y disponibilidad de la aplicación.
La vulnerabilidad CVE-2024-22127 de severidad crítica afecta a la lista de tipos de archivos prohibidos definidos para la funcionalidad de carga del complemento, ya que está incompleta. Esto permitiría al atacante ejecutar comandos que pueden causar un gran impacto en la confidencialidad, integridad y disponibilidad de la aplicación.