Otra vulnerabilidad crítica parchada en SAP Commerce

SAP anunció el lanzamiento de 14 nuevas notas de seguridad y 5 actualizaciones de notas publicadas anteriormente. La única nota nueva de Hot News publicada con esta ronda de parches aborda una vulnerabilidad crítica en SAP Commerce. Registrado como CVE-2021-27602 y con una puntuación CVSS de 9,9, se podría abusar del agujero de seguridad crítico para […]

SAP anunció el lanzamiento de 14 nuevas notas de seguridad y 5 actualizaciones de notas publicadas anteriormente. La única nota nueva de Hot News publicada con esta ronda de parches aborda una vulnerabilidad crítica en SAP Commerce.

Registrado como CVE-2021-27602 y con una puntuación CVSS de 9,9, se podría abusar del agujero de seguridad crítico para lograr la ejecución remota de código, dice SAP.

El problema permite a los usuarios autorizados del software SAP Commerce Backoffice inyectar código malicioso en las reglas fuente al abusar de las capacidades de scripting del motor de reglas.

“Esto puede conducir a una ejecución remota de código con un impacto crítico sobre el sistema de confidencialidad, integridad y disponibilidad,” Onapsis, una firma que se especializa en la obtención de las aplicaciones de SAP y Oracle, explica.

Para abordar la vulnerabilidad, SAP introdujo «validaciones adicionales y codificación de salida al procesar las reglas».

El Security Patch Day de abril de 2021 de SAP también vio la publicación de notas de seguridad para cuatro fallas de alta gravedad, a saber, tres problemas de divulgación de información en NetWeaver Master Data Management (CVE-2021-21482), Solution Manager (CVE-2021-21483) y NetWeaver AS para Java (CVE-2021-21485) y una ruta de servicio sin comillas en SAPSetup (CVE-2021-27608).

SAP también lanzó una actualización para una nota de alta gravedad que aborda CVE-2020-26832, una verificación de autorización faltante en NetWeaver AS ABAP y S4 HANA (SAP Landscape Transformation).

Las notas de seguridad restantes, todas con una clasificación de gravedad media , abordan las vulnerabilidades en NetWeaver AS para Java, NetWeaver AS para ABAP, Integración de procesos (Integration Builder Framework), Integración de procesos (ESR Java Mappings), Ejecución de fabricación (Reglas del sistema), Enfocado RUN y HCM Travel Management Fiori Apps V2.

Se abordaron otras cuatro vulnerabilidades con notas de seguridad publicadas entre los días de parches de seguridad de marzo de 2021 y abril de 2021.

Se recomienda a las organizaciones que apliquen los parches disponibles lo antes posible para asegurarse de que sus aplicaciones permanezcan protegidas. Un estudio que SAP y Onapsis publicaron la semana pasada reveló que, en algunos casos, los actores de amenazas comienzan a apuntar a vulnerabilidades recién parchadas pocos días después de que se publican las actualizaciones de seguridad.