Actualización de seguridad de SAP de noviembre de 2022
INCIBE-2022-1007
- SAP BusinessObjects Business Intelligence Platform, versiones 4.2, 4.3;
- SAPUI5, versiones 754, 755, 756, 757 y versiones cliente 600, 700, 800, 900, 1000;
- SAP Commerce, versiones 1905, 2005, 2105, 2011, 2205;
- SAP NetWeaver Application Server ABAP y ABAP Platform, versiones 700, 731, 804, 740, 750, 789;
- SAP SuccessFactors attachmentAPI para aplicaciones móviles (Android e iOS) versiones anteriores a 8,1.2;
- SAP 3D versión 9.0 para Visual Enterprise Author y Viewer.
El resto de productos afectados se pueden consultar en SAP Security Patch Day – Noviembre 2022.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 3 notas de severidad crítica, 3 de severidad alta y 5 de severidad media. También se han actualizado 2 notas de seguridad de meses anteriores.
Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:
- deserialización insegura de datos no confiables,
- múltiples vulnerabilidades en SQlite,
- secuestro de cuenta a través de la redirección de URL,
- escalada de privilegios,
- ejecución de código arbitrario,
- denegación de servicio (DoS),
- inyección de código.
Las vulnerabilidades de severidad crítica afectan a SAP BusinessObjects Business Intelligence Platform y SAP Commerce y podrían permitir una deserialización insegura de datos no confiables o un secuestro de cuenta a través de la redirección de URL. EL producto SAPUI5 contiene múltiples vulnerabilidades en SQlite.