La actualización más reciente de SAP incluye parches de seguridad para cinco nuevas vulnerabilidades, tres de ellas identificadas como críticas. Una de las actualizaciones aborda 63 fallas de seguridad en Chromium para SAP Business Client v90.0.4430.93 y recibió un puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS).
Las dos actualizaciones críticas restantes recibieron puntajes CVSS de 9.9/10 y corrigen una falla de ejecución remota de código en SAP Commerce y una falla de inyección de código en Business Warehouse y BW/4HANA. Las correcciones restantes en este lanzamiento también abordan dos fallas de severidad media y un problema de baja gravedad.
Las fallas restantes con puntaje CVSS más alto residen en SAP Business One y están relacionadas con los Chef Cookbooks de SAP, que son implementaciones para la gestión de infraestructura crítica en máquinas virtuales.
De estas fallas, las dos primeras afectan a Business One for SAP HANA y su explotación exitosa permitiría la inyección de código arbitrario, lo que los hackers podrían aprovechar para tomar control total de una aplicación. La tercera falla reside en Business One en SQL Server y su explotación permitiría la divulgación de información confidencial.
El tercer parche de alta gravedad aborda un problema de inyección de código en NetWeaver AS ABAP que podría permitir a los atacantes con acceso al sistema SAP local leer y sobrescribir datos e incluso lanzar un ataque de denegación de servicio (DoS).
Las actualizaciones de seguridad media parchean las vulnerabilidades en SAP Commerce and Process Integration, mientras que la nota de gravedad baja resuelve un error en la GUI de SAP para Windows. El día del parche de seguridad de SAP de mayo de 2021 también vio el lanzamiento de actualizaciones para dos vulnerabilidades de gravedad media que afectan NetWeaver Application Server Java y SAP Focused RUN, respectivamente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).