En su más reciente paquete de parches de seguridad, SAP incluyó ocho correcciones para diversas fallas, incluyendo tres parches para abordar la vulnerabilidad identificada como Spring4Shell, explotada de forma activa. Identificada como CVE-2022-22965, la vulnerabilidad reside en el marco Spring Java y su explotación permitiría desplegar ataques de ejecución remota de código (RCE).
Después de lanzar un primer conjunto de parches para abordar la falla en abril, SAP anunció el lanzamiento de tres notas de seguridad, con lo que esperan abordar completamente el error en Customer Profitability Analytics, Commerce y Business One Cloud.
Las tres notas de seguridad recibieron la clasificación de seguridad más alta según los estándares de SAP, además incluyen una actualización central de seguridad para Spring4Shell, que SAP publicó inicialmente a mediados de abril.
Las actualizaciones lanzadas por SAP en mayo también incluyen dos notas de seguridad de alta prioridad que abordan un problema de scripts entre sitios (XSS) en la interfaz de usuario de administración de Web Dispatcher y Netweaver (CVE-2022-27656), y un error de divulgación de información en BusinessObjects (CVE-2022-28214).
Según un reporte de la firma de seguridad de aplicaciones Onapsis, un ataque que explote la falla XSS sería muy complejo y requeriría que el atacante “atrajera a la víctima para que inicie sesión en la IU de administración usando un navegador”, lo que reduce la gravedad del error.
SAP lanzó parches para todos los archivos afectados, además de proporcionar tres soluciones temporales, incluyendo la eliminación de dichos archivos, la desactivación de la interfaz de usuario de administración y la prevención de que los posibles usuarios víctimas inicien sesión en la interfaz de usuario de administración.
La compañía también publicó varias notas de seguridad que tratan vulnerabilidades de gravedad media en NetWeaver, Employee Self Service y Host Agent.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
