El día del parche, SAP publicó una lista de 19 nuevas brechas de seguridad y actualizaciones relacionadas. Esto también es necesario porque la lista contiene dos vulnerabilidades críticas con puntajes CVSS de 9.9 sobre 10 y otras tres vulnerabilidades críticas con CVSS 9.6 a 9.0.
Como casi todos los meses, merece la pena echar un vistazo al blog SAP Patch Day. El mes de marzo de 2023 vuelve a mostrar una gran lista de brechas de seguridad. De las 19 vulnerabilidades listadas y sus correspondientes actualizaciones, según el Common Vulnerability Scoring System - CVSS - 5 están clasificadas como “Críticas”, 4 como “Altamente Peligrosas” y otras 10 como “Medio Severas”. Dos de las vulnerabilidades se consideran particularmente vulnerables con un valor CVSS de 9.9.
5 vulnerabilidades críticas en SAP
- CVE-2023-25616, CVSS 9.9: Vulnerabilidad de inyección de código en la plataforma SAP Business Objects Business Intelligence (CMC)
- CVE-2023-23857, CVSS 9.9: Control de acceso no válido en SAP NetWeaver AS para Java
- CVE-2023-27269, CVSS 9.6: Vulnerabilidad de cruce de directorios en SAP NetWeaver AS para ABAP y plataforma ABAP
- CVE-2023-27500, CVSS 9.6: Vulnerabilidad de cruce de directorios en SAP NetWeaver AS para ABAP y plataforma ABAP (programa SAPRSBRO)
- CVE-2023-25617, CVSS 9.0: Vulnerabilidad en la ejecución de comandos del sistema operativo en SAP Business Objects Business Intelligence Platform (Adaptive Job Server)
Otras 4 fugas de seguridad se consideran altamente peligrosas y también deben actualizarse rápidamente: CVE–2023–27893, CVE-2023-27501, CVE-2023-26459 (incluido CVE-2023-25618), CVE-2023-27498. Después de todo, su valor CVSS está entre 8.8 y 7.2. Con el valor 5.3 a 6.8 hay 10 actualizaciones más en la lista de SAP.
Más en SAP.com