Especialistas en ciberseguridad reportan el hallazgo de al menos tres vulnerabilidades severas en SAP Business One, un sistema informático para la gestión de recursos y planificación de actividades en pequeñas y medianas empresas. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas evadir los controles de seguridad en la aplicación afectada.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes establecidos según el Common Vulnerability Scoring System (CVSS). Cabe aclarar que todas las fallas reportadas residen en SAP Business One v10.0.
CVE-2021-33704: La ausencia de comprobaciones de autorización en el componente Service Layer en SAP Business One permitiría a un usuario remoto acceder sin autorización a funciones restringidas.
Esta es una falla de severidad media y recibió un puntaje CVSS de 5.5/10.
CVE-2021-33700: La falta de autenticación en una función crítica permitiría a los usuarios maliciosos remotos evadir el proceso de autenticación en la aplicación afectada.
Esta falla recibió un puntaje CVSS de 6.5/10 y su explotación exitosa permitiría a los actores de amenazas remotos comprometer la integridad del sistema vulnerable.
CVE-2021-33698: Una validación insuficiente en el proceso de carga de archivos en SAP Business One permitiría a un usuario remoto autenticado cargar archivos especialmente diseñados y ejecutarlos en el servidor afectado.
Esta es una vulnerabilidad de severidad alta y recibió un puntaje CVSS de 7.1/10.
El reporte señala que las vulnerabilidades podrían ser explotadas por actores de amenazas remotos autenticados, aunque es necesario mencionar que hasta el momento de redacción de este artículo no se habían reportado intentos de explotación activa o la existencia de una variante de malware asociada al ataque.
Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que SAP recomienda a los usuarios de implementaciones afectadas corregir a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
