Clasificación de la Vulnerabilidad Riesgo: Crítica

Descripción:
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Fecha de publicación: 10/01/2024

Detalle:
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad, 2 de severidad crítica, 4 altas, 3 medias y 1 baja. También, se han actualizado 2 notas se seguridad de meses anteriores.

Los tipos de vulnerabilidades nuevas, crítica y medias, publicadas son:

• escalada de privilegios,
• inyección de código,
• denegación de servicio,
• divulgación de información.

La vulnerabilidad CVE-2023-49583 de severidad crítica detectada afecta a la escalada de privilegios de la aplicación SAP Business Application Studio, SAP Web IDE Full-Stack o SAP Web IDE para SAP HANA. Estas aplicaciones también pueden verse afectadas por CVE-2023-4958, ya que sus dependencias pueden hacer referencia a versiones vulnerables de las bibliotecas @sap/approuter y @sap/xssec.

La vulnerabilidad CVE-2023-50422 de severidad crítica detectada afecta a la escalada de privilegios en SAP Edge Integration Cell. Esta aplicación también puede verse afectada por la vulnerabilidad CVE-2023-4958.

Recursos Afectados:

• SAP Business Application Studio, SAP Web IDE Full-Stack y SAP Web IDE for SAP HANA:

--Library- @sap/xssec, versiones anteriores a la 3.6.0.

--Library- @sap/approuter, versión 14.4.2.

• SAP Edge Integration Cell, versión 8.9.13 y anteriores.

El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.

Solución:
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Referencias de avisos, soluciones y herramientas.
https://www.incibe.es/simplenews-c/u16265nl496015?link=https%3A//support.sap.com/en/my-support/knowledge-base/security-notes-news.html