Error de seguridad crítico de SAP Commerce permite ejecución remota de código

La falla crítica de ciberseguridad de SAP podría permitir el compromiso de una aplicación utilizada por empresas con comercio electrónico.

SAP advierte sobre una vulnerabilidad crítica en su plataforma SAP Commerce para empresas de comercio electrónico. Si se explota, la falla podría permitir la ejecución remota de código (RCE) que, en última instancia, podría comprometer o interrumpir la aplicación.

SAP Commerce organiza datos, como información de productos, para difundirlos a través de múltiples canales. Esto puede dar a las empresas una ventaja para hacer frente a problemas complejos de gestión de la cadena de suministro.

La vulnerabilidad (CVE-2021-21477) afecta a las versiones 1808, 1811, 1905, 2005 y 2011 de SAP Commerce. Se ubica en el 9,9 de 10 en la escala CVSS, lo que la hace crítica en severidad.

¿Qué son las reglas de SAP Commerce Drools?

La falla permite a ciertos usuarios con «privilegios requeridos» editar las reglas de Drools. Drools es un motor que compone el motor de reglas para SAP Commerce. El propósito de Drools es definir y ejecutar un conjunto de reglas que las empresas pueden utilizar para gestionar escenarios complejos de toma de decisiones.

La falla proviene específicamente de una regla en Drools que contiene un atributo ruleContent. Este atributo proporciona facilidades de programación.

Otras versiones críticas de ciberseguridad de SAP

La actualización de la vulnerabilidad fue una de las siete notas de seguridad publicadas el martes por SAP. Las otras seis versiones fueron actualizaciones de las notas de seguridad de Patch Tuesday publicadas anteriormente.

Uno de ellos ocupó el décimo lugar en la escala CVSS y abordó problemas de seguridad en el control del navegador para Google Chromium, que se entrega con el cliente empresarial de SAP. Afecta a la versión 6.5 del cliente empresarial de SAP. No se disponía de una asignación CVE específica para este defecto y más detalles.

Otra falla de gravedad crítica que se publicó y actualizó el martes incluyó múltiples fallas ( CVE-2021-21465 ) en SAP Business Warehouse, un producto de «almacenamiento» de datos basado en la plataforma SAP NetWeaver ABAP, que recopila y almacena datos.

“La interfaz de base de datos BW permite a un atacante con pocos privilegios ejecutar cualquier consulta de base de datos diseñada, exponiendo la base de datos de back-end”, según Mitre Corporation . «Un atacante puede incluir sus propios comandos SQL que la base de datos ejecutará sin desinfectar adecuadamente los datos que no son de confianza, lo que genera una vulnerabilidad de inyección SQL que puede comprometer por completo el sistema SAP afectado».