Los equipos de seguridad de SAP anunciaron el lanzamiento de 12 parches de seguridad como parte de su actualización mensual, además de abordar tres fallas reportadas anteriormente. En esta actualización se corrigieron dos severas fallas de seguridad: una verificación de autorización insuficiente (CVE-2021-33671) y una falla de denegación de servicio (CVE-2021-33670).
La primera falla reside en los procedimientos guiados de SAP NetWeaver (SAP GP), un componente de Composite Application Framework (CAF) que proporciona acceso basado en roles a múltiples sistemas backend. La autorización faltante se identificó en la herramienta de administración central de GP y permitiría el acceso no autorizado y manipulación de datos. La falla recibió un puntaje de 7.6/10 acorde al Common Vulnerability Scoring System (CVSS).
Por otra parte, la segunda falla afecta a SAP NetWeaver AS para Java y existe debido a que las solicitudes HTTP no son validadas correctamente cuando se almacenan los datos de supervisión. Los actores de amenazas podrían manipular las solicitudes HTTP para agotar los recursos del sistema, llevando a una condición DoS. La falla recibió un puntaje CVSS de 7.5/10.
SAP también publicó nueve alertas de seguridad relacionadas con vulnerabilidades de baja severidad en CRM ABAP, NetWeaver AS ABAP y ABAP Platform, Lumira Server, Web Dispatcher e Internet Communication Manager, NetWeaver AS for Java y NetWeaver AS JAVA.
Finalmente, la compañía publicó actualizaciones para dos notas de seguridad de Hot News: la primera trata sobre las actualizaciones de seguridad para el navegador Chromium en SAP Business Client, mientras que la segunda es una falla de autenticación incorrecta en NetWeaver ABAP Server y ABAP Platform.
Más información sobre las actualizaciones de seguridad incluidas en el parche de SAP par julio está disponible en las plataformas oficiales de la compañía. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).