CSIRT Panamá Aviso 2024-06-13 SAP: Actualización de seguridad de SAP de junio de 2024

TOPICS:

Posted By: CSIRT Panamá June 13, 2024

                                                                              

Gravedad: Alta 

Fecha de publicación: junio 13, 2024
Última revisión: junio 13, 2024

Sitio web: https://sap.com

Sistemas Afectados:

  • SAP Financial Consolidation, versión FINANCE 1010.
  • SAP NetWeaver AS Java, versión MMR_SERVER 7.5.
  1. Descripción

Se han publicado varias actualizaciones de seguridad del software SAP en diferentes productos en su comunicado mensual.

  1. Impacto

El comunicado mensual de parches de seguridad, indica un total de 10 notas de seguridad: 2 de severidad alta, 7 de severidad media y 1 baja. También se han actualizado 2 notas se seguridad de meses anteriores.

Vulnerabilidades con severidad es alta:

Cross-Site Scripting (XSS) – CVE-2024-37177:

SAP Financial Consolidation permite que los datos entren en una aplicación web a través de una fuente no fiable. Estos endpoints están expuestos a través de la red y podrían permitir al usuario modificar el contenido desde el sitio web. Si se explota con éxito, un atacante podría causar un impacto significativo en la confidencialidad e integridad de la aplicación.

Denegación de servicio (DoS) – CVE-2024-34688:

Debido al acceso sin restricciones a los servicios de repositorio de metamodelos en SAP NetWeaver AS Java, los atacantes podrían realizar ataques DoS en la aplicación, lo que podría impedir que los usuarios legítimos accedan a ella. Esto puede resultar en ningún impacto en la confidencialidad y la integridad, pero un alto impacto en la disponibilidad de la aplicación.

III. Referencia a soluciones, herramientas e información

Instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Soporte: https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de SAP de junio de 2024. 11 de junio del 2024. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-junio-de-2024.
  2. SAP Oficial.  11 de junio del 2024. SAP Security Patch Day – June 2024. Recopilado en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2024.html

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124