Actualización de seguridad de SAP de mayo de 2023
INCIBE-2023-0163
- SAP 3D Visual Enterprise License Manager, versión 15;
- SAP BusinessObjects Intelligence Platform, versiones 420 y 430;
- SAP AS NetWeaver JAVA, versiones SERVERCORE 7.50, J2EE-FRMW 7.50 y CORE-TOOLS 7.50;
- SAP IBP EXCEL ADD-IN, versiones 2211, 2302 y 2305;
- SAP PowerDesigner (Proxy), versión 16.7;
- SAP Commerce, versiones 2105, 2205 y 2211;
- SAP GUI for Windows, versiones 7.70 y 8,0;
- SAP Commerce (Backoffice), versiones 2105 y 2205;
- SAPUI5, versiones SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 y UI_700 20.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 18 notas de seguridad, siendo 2 notas de severidad crítica, 9 de severidad alta y el resto medias y bajas.
Los tipos de vulnerabilidades de severidad alta publicadas se corresponden con los siguientes:
- divulgación de información,
- control de acceso inadecuado durante el arranque de la aplicación,
- escalada de privilegios,
- corrupción de memoria,
- denegación de servicio,
- neutralización inadecuada de código.
La vulnerabilidad crítica que afecta a BusinessObjects Business Intelligence Platform podría permitir que un atacante autenticado con privilegios de administrador obtenga el token de inicio de sesión de cualquier usuario o servidor de BI conectado a través de la red sin ninguna interacción del usuario. El atacante podría hacerse pasar por cualquier usuario en la plataforma y acceder y modificar los datos. El atacante también puede hacer que el sistema no esté disponible parcial o totalmente. Se ha asignado el identificador CVE-2023-28762 a esta vulnerabilidad.