Fecha 15/05/2024
Importancia 5 - Crítica

Recursos Afectados

• SAP Commerce, versión HY_COM 2205;
• SAP NetWeaver Application Server ABAP y ABAP Platform, versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS  702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 y SAP_BASIS 758..

Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad: 2 de severidad crítica, 1 de severidad alta, 8 de severidad media y 3 bajas. También se han actualizado 3 notas se seguridad de meses anteriores.
Los tipos de vulnerabilidades nuevas publicadas, cuya severidad es crítica, son:

• inicialización incorrecta;
• carga de archivos.

CVE-2019-17495 : vulnerabilidad de inyección de Cascading Style Sheets (CSS) en Swagger UI, cuya explotación podría permitir a los atacantes realizar una exfiltración de valores de campos de entrada basados en CSS, como la exfiltración de un valor de token CSRF.
CVE-2024-33006 : un atacante no autenticado puede subir un archivo malicioso al servidor que, cuando es accedido por una víctima, podría permitir al atacante comprometer completamente el sistema.