En su más reciente paquete de parches de seguridad, SAP incluyó ocho correcciones para diversas fallas, incluyendo tres parches para abordar la vulnerabilidad identificada como Spring4Shell, explotada de forma activa. Identificada como CVE-2022-22965, la vulnerabilidad reside en el marco Spring Java y su explotación permitiría desplegar ataques de ejecución remota de código (RCE).
Después de lanzar un primer conjunto de parches para abordar la falla en abril, SAP anunció el lanzamiento de tres notas de seguridad, con lo que esperan abordar completamente el error en Customer Profitability Analytics, Commerce y Business One Cloud.
Las tres notas de seguridad recibieron la clasificación de seguridad más alta según los estándares de SAP, además incluyen una actualización central de seguridad para Spring4Shell, que SAP publicó inicialmente a mediados de abril.
Las actualizaciones lanzadas por SAP en mayo también incluyen dos notas de seguridad de alta prioridad que abordan un problema de scripts entre sitios (XSS) en la interfaz de usuario de administración de Web Dispatcher y Netweaver (CVE-2022-27656), y un error de divulgación de información en BusinessObjects (CVE-2022-28214).
Según un reporte de la firma de seguridad de aplicaciones Onapsis, un ataque que explote la falla XSS sería muy complejo y requeriría que el atacante “atrajera a la víctima para que inicie sesión en la IU de administración usando un navegador”, lo que reduce la gravedad del error.
SAP lanzó parches para todos los archivos afectados, además de proporcionar tres soluciones temporales, incluyendo la eliminación de dichos archivos, la desactivación de la interfaz de usuario de administración y la prevención de que los posibles usuarios víctimas inicien sesión en la interfaz de usuario de administración.
La compañía también publicó varias notas de seguridad que tratan vulnerabilidades de gravedad media en NetWeaver, Employee Self Service y Host Agent.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo 14 vulnerabilidades críticas corregidas en diferentes productos de SAP: Actualice pronto apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario