Las vulnerabilidades más resaltantes reportadas son las siguientes:
- CVE-2021-44228 de severidad crítica, con una puntuación de 10. Esta se debe a un fallo en las características de configuración JDNI, el cual no valida los parámetros de entrada de los mensajes o parámetros de los logs. Esto permitiría a un atacante acceder a permisos de configuración y control de los logs con el objetivo de realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-24396 de severidad crítica, con una puntuación de 9.3. Esta vulnerabilidad se debe a un fallo en un componente desconocido y permitiría a un atacante autenticado con mínimos privilegios realizar un escalamiento de privilegios u obtener información sensible.
- CVE-2022-26101 de severidad alta, con una puntuación de 8.2. Esta vulnerabilidad se debe a una falla en un componente desconocido el cual no valida los datos de entrada del usuario. Esto permitiría a un atacante enviar peticiones maliciosas con el objetivo de ejecutar código JavaScript.
Para acceder a la lista completa de todas las vulnerabilidades ver el siguiente enlace.
Algunos de los productos afectados son los siguientes:
- SAP Work Manager versiones anteriores a 6.4, 6.5, 6.6
- SAP Inventory Manager versiones anteriores a 4.3, 4.4
- Simple Diagnostics Agent
- SAP NetWeaver Enterprise Portal versiones anteriores a 7.60
- SAP Financial Consolidation en su versión 10.1
Para una lista más detallada acerca de todos los productos afectados acceder al siguiente enlace.
Recomendamos descargar e instalar las actualizaciones proveídas por el fabricante siguiente guía:
Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
- https://www.redpacketsecurity.com/sap-focused-run-privilege-escalation-cve-
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26101
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1169/