- Productos Afectados
-
Producto Versión SAP Solution Manager (análisis de trazas) 7.20
SAP NetWeaver AS ABAP (SAP Landscape Transformation – DMIS) 2011_1_620
2011_1_640
2011_1_700
2011_1_710
2011_1_730
2011_1_731
2011_1_752
2020
SAP interfaz de usuario 7.5
7.51
7.52
7.53
7.54
700
SAP S4 HANA (DMIS) 101
102
103
104
105
SAP BW4HANA 100
200
SAP Business Warehouse 700
701
702
731
740
750
751
752
753
754
755
782
SAP HANA 2.0
SAP NetWeaver Application Server para Java 7.31
7.40
7.50
SAP Divulgación de gestión 10.1
SAP NetWeaver AS ABAP 740
750
751
752
753
754
SAP AS ABAP (DMIS) 2011_1_620
2011_1_640
2011_1_700
2011_1_710
2011_1_730
2011_1_731
2011_1_752
2020
SAP BusinessObjects BI Platform 4.1
4.2
4.3
SAP NetWeaver AS Java 7.10
7.11
7.20
7.30
7.31
7.40
7.50
SAP Solution Manager 7.20
Para el martes de parches de diciembre del 2020, SAP publicó 11 notas de seguridad y actualizó 2 publicadas anteriormente. Los parches más críticos afectan a productos SAP NetWeaver AS Java, SAP BusinessObjects BI Platform y SAP Business Warehouse.
Hot News
- Falta de autenticación Entradas SAP NetWeaver AS Java ( P2P Cluster Comunicación) CVE-2020-26829 puntuación CVSS: 10.
La vulnerabilidad existe debido a un error al procesar solicitudes de autenticación dentro del componente P2P Cluster Communication. Un atacante remoto puede eludir el proceso de autenticación y obtener acceso no autorizado a la aplicación.
- Missing XML Validación de SAP BusinessObjects Business Intelligence Plataforma (Crystal Report) CVE-2020-26831 puntuación CVSS: 9,6.
La vulnerabilidad existe debido a una validación insuficiente de la entrada XML proporcionada por el usuario dentro del componente Crystal Report. Un usuario remoto sin privilegios puede pasar un código XML especialmente diseñado a la aplicación afectada y ver el contenido de archivos arbitrarios en el sistema o iniciar solicitudes a sistemas externos.
- Código vulnerabilidad de inyección en SAP Business Warehouse (Master Data Management) y SAP BW4HANA CVE-2020-26838 puntuación CVSS: 9,1.
La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente de gestión de datos maestros. Un usuario remoto con privilegios puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
Severidad alta
- Verificación de recorrido de ruta y autorización faltante en SAP Solution Manager 7.2 (Monitoreo de la experiencia del usuario) CVE-2020-26837 / CVE-2020-26830 puntuación CVSS: 8,5.
- Falta de comprobación de autorización en SAP NetWeaver AS ABAP y SAP HANA S4 (SAP transformación del paisaje) CVE-2020-26832 puntuación CVSS: 7,6
Severidad media
- Sin restricciones carga de archivos de vulnerabilidad en SAP NetWeaver Application Server para Java (proceso de integración de Monitoreo) CVE-2020-26826 puntuación CVSS: 6,5.
- Fórmula inyección en SAP Divulgación de Gestión CVE-2020-26828 puntuación CVSS: 5,4.
- Missing cifrado en SAP NetWeaver AS Java (Servicio de almacenamiento de claves) CVE-2020-26816 puntuación CVSS: 5,4.
- Cross-Site Scripting (XSS vulnerabilidad) en SAP NetWeaver AS ABAP CVE-2020-26835 puntuación CVSS: 5,3.
- Autenticación incorrecta en el producto de base de datos SAP HANA CVE-2020-26834 puntuación CVSS: 4,2.
Severidad Baja
- Open Redirect in SAP Solution Manager (Trace Analysis) CVE-2020-26836 puntuación CVSS: 3,4.
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
El listado de las CVE se adjunta a continuación:
