Vulnerabilidades críticas recientemente encontradas en el sistema SAP

La empresa está preparando 11 parches para corregir estos errores

El martes pasado el proveedor empresarial SAP lanzó 11 diferentes avisos de seguridad para sus usuarios. Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, la empresa informa a sus clientes el lanzamiento de una serie de parche de seguridad para corregir vulnerabilidades recientemente encontradas en el sistema de gestión de datos.

Encabezando la lista de vulnerabilidades encontradas se encuentra una falla en la versión 2.11.3 de SAP Cloud Connector rastreada como CVE-2019-0246. Acorde a los reportes de especialistas en ciberseguridad, este software realiza una deficiente autenticación para las funciones que requieren verificar la identidad del usuario. La explotación de una vulnerabilidad relacionada (CVE-2019-0247) permitiría la ejecución remota de código.

Posteriormente se encuentra SAP Landscape Management, que presenta una vulnerabilidad crítica de filtrado de información (CVE-2019-0249).

Dos productos de SAP presentan más errores de autenticación: el almacén de datos de la empresa y SAP Enterprise Financial Services. Ambas vulnerabilidades (CVE-2019-0243 y CVE-2018-2484) son errores en el proceso de autenticación que podrían permitir a un atacante ejecutar una escalada de privilegios, reportan expertos en ciberseguridad.

Por su parte, el software SAP Financial Consolidation Cube Designer presenta una vulnerabilidad que podría revelar detalles de contraseñas (CVE-2018-2499), además, el servidor de aplicaciones ABAP presentaría una vulnerabilidad de divulgación de información sin autorización (CVE-2019-0248).

También fueron encontradas dos vulnerabilidades de denegación de servicio (DDoS). La primera de estas fallas se encontró en SAP Work and Inventory Management (CVE-2019-0241); la segunda fue encontrada actuando a través de enlaces maliciosos especialmente diseñados en la herramienta Business Objects para Android (CVE-2019-0240).

Por último, se encontró una vulnerabilidad XSS en SAP Commerce (CVE-2019-0238) y otras dos en la interfaz de usuario del CRM de la empresa (CVE-2019-0244 y CVE-2019-0245).

Los detalles completos sobre estas vulnerabilidades se encuentran en la página de soporte de SAP. Se recomienda a los clientes de la empresa actualizar sus herramientas tan pronto como sea posible.