Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de noviembre de 2022

Fecha de publicación 09/11/2022
Identificador

INCIBE-2022-1007

Importancia
5 - Crítica
Recursos Afectados
  • SAP BusinessObjects Business Intelligence Platform, versiones 4.2, 4.3;
  • SAPUI5, versiones 754, 755, 756, 757 y versiones cliente 600, 700, 800, 900, 1000;
  • SAP Commerce, versiones 1905, 2005, 2105, 2011, 2205;
  • SAP NetWeaver Application Server ABAP y ABAP Platform, versiones 700, 731, 804, 740, 750, 789;
  • SAP SuccessFactors attachmentAPI para aplicaciones móviles (Android e iOS) versiones anteriores a 8,1.2;
  • SAP 3D versión 9.0 para Visual Enterprise Author y Viewer.

El resto de productos afectados se pueden consultar en SAP Security Patch Day – Noviembre 2022.

Descripción

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 3 notas de severidad crítica, 3 de severidad alta y 5 de severidad media. También se han actualizado 2 notas de seguridad de meses anteriores.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • deserialización insegura de datos no confiables,
  • múltiples vulnerabilidades en SQlite,
  • secuestro de cuenta a través de la redirección de URL,
  • escalada de privilegios,
  • ejecución de código arbitrario,
  • denegación de servicio (DoS),
  • inyección de código.

Las vulnerabilidades de severidad crítica afectan a SAP BusinessObjects Business Intelligence Platform y SAP Commerce y podrían permitir una deserialización insegura de datos no confiables o un secuestro de cuenta a través de la redirección de URL. EL producto SAPUI5 contiene múltiples vulnerabilidades en SQlite.

Encuesta valoración