Cabecera-v2-web.jpg

Actualización de seguridad de SAP de junio de 2022


15/06/2022

SAP ha lanzado actualizaciones de seguridad para 10 vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar escalamiento de privilegios, y evasión de control inadecuado.


Las vulnerabilidades reportadas se componen de 2 (Dos) de severidad “Alta”, 6 (Seis) de severidad “Media”, y 2 (Dos) de severidad “Baja”, entre ellas se destacan:

  • CVE-2022-27668 de severidad alta y puntuación de 8.6. Esta se debe a un error en la ruta de archivo “saprouttab” en las versiones 7.49, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, KRNL64NUC 7.49, KRNL64UC 7.49, SAP_ROUTER 7.53, 7.22 del kernel. Un atacante no autenticado podría evasión de control en el sistema y realizar ejecución remota de código (RCE) con permiso de administrador.
  • CVE-2022-31590 de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error en la versión 16.7 de SAP PowerDesigner Proxy. Un atacante local con poco privilegio podría realizar escalamiento de privilegios pudiendo comprometer la confidencialidad, integridad y disponibilidad del sistema afectado.
  • CVE-2022-29618 de severidad media, con una puntuación asignada de 6.1. Esta vulnerabilidad se debe a una insuficiencia de validación de entrada en SAP NetWeaver Development Infrastructure. Un atacante no autenticado podría realizar inyección de código en la URL y ejecutar código remoto (RCE) en el navegador del usuario.

Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.

Los productos principalmente afectados son:

  • SAP Netweaver Developer Studio (NWDS), versión 7.50.
  • SAP ERP, versiones C.ECO110 600, 110 602, 110 603, 110 604, 110 700P.
  • SAP NetWeaver Development Infrastructure, versiones 7.30, 7.31, 7.40, 7.50.

Se puede acceder al listado completo de los productos afectados aquí.

Recomendamos instalar las actualizaciones correspondientes que serán provistas por SAP en el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11