9VSA23-00768-01 CSIRT comparte información de vulnerabilidades que afectan a productos SAP y que recibieron actualizaciones de seguridad

Resumen

El CSIRT de Gobierno comparte la información entregada por SAP sobre nuevas vulnerabilidades que afectan a varios de sus productos, y para las cuales pusieron a disposición actualizaciones de seguridad.

Vulnerabilidades

CVE-2022-41203

CVE-2022-41271

CVE-2022-41272

CVE-2023-0014

CVE-2023-0023

CVE-2023-0015

CVE-2023-0022

CVE-2023-0018

CVE-2023-0017

CVE-2023-0016

CVE-2023-0012

CVE-2023-0013

Impacto 

Vulnerabilidades de riesgo crítico

CVE-2022-41203: Vulnerabiliad de deserialización insegura de datos no confiables en SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) versiones 4.2, 4.3.

CVE-2022-41271: Vulnerabilidad de controles de acceso inapropiados en SAP NetWeaver Process Integration (Messaging System) versión 7.50.

CVE-2022-41272: Vulnerabilidad de controles de acceso inapropiados en SAP NetWeaver Process Integration (User Defined Search) versión 7.50.

CVE-2023-0014: Vulnerabilidad de tipo capture-replay en SAP NetWeaver ABAP Server and ABAP Platform, SAP_BASIS 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22, 7.22EXT.

CVE-2023-0022: Vulnerabilidad de inyección de código en SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP) versiones 420, 430.

CVE-2023-0017: Vulnerabilidad de acceso inapropiado en SAP NetWeaver AS for Java, versión 7.50.

CVE-2023-0016: Vulnerabilidad de inyección SQL en SAP BPC MS 10.0 versiones 800, 810.

Productos afectados

SAP NetWeaver Process Integration (Messaging System) versión 7.50.

SAP NetWeaver Process Integration (User Defined Search) versión 7.50.

SAP NetWeaver ABAP Server and ABAP Platform

SAP BASIS 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, KERNEL 7.22, 7.53, 7.77, 7.81, 7.85, 7.89, KRNL64UC 7.22, 7.22EXT, 7.53, KRNL64NUC 7.22, 7.22EXT.

SAP NetWeaver AS for ABAP and ABAP Platform, versiones 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757.

SAP NetWeaver AS for Java, versión 7.50.

SAP BusinessObjects Business Intelligence Platform (Analysis edition for OLAP) versiones 420, 430.

SAP BusinessObjects Business Intelligence Platform (Central management console) versiones 420, 430.

SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad) versiones 4.2, 4.3.

SAP BusinessObjects Business Intelligence Platform, versión 420.

SAP BPC MS 10.0 versiones 800, 810.

SAP Host Agent (Windows), Versiones – 7.21, 7.22.

SAP Bank Account Management (Manage Banks) versiones 800, 900.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41203

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41271

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41272

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0014

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0023

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0015

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0022

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0018

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0017

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0016

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0012

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0013

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00768-01

9VSA23-00768-01 CSIRT comparte información de vulnerabilidades que afectan a productos SAP y que recibieron actualizaciones de seguridad