Global Preloader
Noticia Internacional
(10/Aug/2017) SAP resuelve 19 vulnerabilidades publicadas en sus notas de seguridad de Agosto

SAP resuelve 19 vulnerabilidades publicadas en sus notas de seguridad de Agosto

SAP lanzó esta semana otro conjunto de parches de seguridad para sus productos para hacer frente a un total de 19 vulnerabilidades, la mayoría de las cuales están clasificadas como de severidad Media.

Un total de 16 notas de seguridad se incluyeron en el Día de Revisiones de Seguridad SAP en agosto de 2017: tres calificadas de alto riesgo, 11 de severidad media y dos de bajo riesgo.

SAP también lanzó 3 Support Package Notes, para un total de 19 parches. 1 de las notas fue lanzada después del segundo martes del mes anterior y antes del segundo martes de este mes.

Los aspectos más importantes de estas fallas incluyen una vulnerabilidad de Directorio Transversal (Puntuación CVSS: 7.7) en SAP NetWeaver AS Java Web Container, una vulnerabilidad de Code Injection (Puntuación CVSS: 7.4) en Visual Composer 04s y un Cross-Site AJAX Requests (Puntuación CVSS: 7.3) en SAP BusinessObjects (en una biblioteca de terceros de Java utilizada por la aplicación).

El tipo de vulnerabilidad más común resuelto este mes fue la creación de scripts entre sitios. Cinco fallas de este tipo se abordaron en las aplicaciones SAP, junto con dos bugs de recorrido de directorio, dos redireccionamientos abiertos, dos fallos de falsificación de solicitudes en el sitio, dos inyecciones de SQL, una comprobación de autorización ausente, una divulgación de información, una inyección de código y un error SSRF, una falla de implementación y una denegación de servicio.

Uno de los problemas de XSS resueltos este mes impactó a Adobe Flex Software Development Kit, lo que significa que las aplicaciones personalizadas escritas con la ayuda de la biblioteca son susceptibles a la vulnerabilidad XSS, indicó ERPScan, una compañia enfocada en la seguridad de SAP. El Web Dynpro Flex de SAP aparece también afectado.

La falla fue encontrada inicialmente en 2011 y parcheado cuando el parche apropiado fue lanzado en marzo de 2012. Permitió a un atacante inyectar de forma remota script web o HTML arbitrario mediante el uso de vectores relacionados con la carga de módulos de diferentes dominios.

Debido a que la falla afecta a una biblioteca, la aplicación de la corrección no eliminará la vulnerabilidad, ya que todas las aplicaciones escritas utilizando la biblioteca vulnerable necesitan ser reconstruidas con la versión parcheada del SDK.

De acuerdo con ERPScan, una vulnerabilidad de scripts entre sitios en el módulo de Precios de IPC de Gestión de Relaciones con el Cliente de SAP (Puntuación CVSS: 6.1) merece atención, ya que podría permitir a un atacante inyectar un script malicioso en una página. El script tendría acceso a cookies, tokens de sesión y otra información crítica almacenada y utilizada para la interacción con una aplicación web. Por lo tanto, un atacante podría aprender información crítica de la empresa e incluso obtener el control sobre esta información, o puede abusar de la falla para la modificación no autorizada del contenido mostrado.