Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de mayo de 2023

Fecha de publicación 10/05/2023
Identificador

INCIBE-2023-0163

Importancia
5 - Crítica
Recursos Afectados
  • SAP 3D Visual Enterprise License Manager, versión 15;
  • SAP BusinessObjects Intelligence Platform, versiones 420 y 430;
  • SAP AS NetWeaver JAVA, versiones SERVERCORE 7.50, J2EE-FRMW 7.50 y CORE-TOOLS 7.50;
  • SAP IBP EXCEL ADD-IN, versiones 2211, 2302 y 2305;
  • SAP PowerDesigner (Proxy), versión 16.7;
  • SAP Commerce, versiones 2105, 2205 y 2211;
  • SAP GUI for Windows, versiones 7.70 y 8,0;
  • SAP Commerce (Backoffice), versiones 2105 y 2205;
  • SAPUI5, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 20.
Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 18 notas de seguridad, siendo 2 notas de severidad crítica, 9 de severidad alta y el resto medias y bajas.

Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:

  • divulgación de información,
  • control de acceso inadecuado durante el arranque de la aplicación,
  • escalada de privilegios,
  • corrupción de memoria,
  • denegación de servicio,
  • neutralización inadecuada de código.

La vulnerabilidad crítica que afecta a BusinessObjects Business Intelligence Platform podría permitir que un atacante autenticado con privilegios de administrador obtenga el token de inicio de sesión de cualquier usuario o servidor de BI conectado a través de la red sin ninguna interacción del usuario. El atacante podría hacerse pasar por cualquier usuario en la plataforma y acceder y modificar los datos. El atacante también puede hacer que el sistema no esté disponible parcial o totalmente. Se ha asignado el identificador CVE-2023-28762 a esta vulnerabilidad.