SAP parchea vulnerabilidades de alta gravedad en Business One, BusinessObjects y GRC

El fabricante de software alemán SAP anunció esta semana el lanzamiento de ocho notas de seguridad nuevas y cinco actualizadas como parte de su Security Patch Day de septiembre de 2022.

La más importante de las notas de seguridad recientemente publicadas trata sobre una vulnerabilidad de alta gravedad en Business One que podría conducir a una escalada de privilegios.

Registrado como CVE-2022-35292 (puntuación CVSS de 7,8), la vulnerabilidad se describe como una vulnerabilidad de ruta de servicio sin comillas.

Debido a esta vulnerabilidad, si se proporciona una ruta de ejecución sin comillas, un atacante con privilegios de escritura en los subdirectorios de la ruta podría colocar archivos ejecutables malintencionados en esos directorios, que se ejecutarán en lugar del ejecutable previsto.

“Se puede explotar una vulnerabilidad de ruta de servicio sin comillas para ejecutar un archivo binario arbitrario cuando se inicia el servicio vulnerable, lo que podría permitirle escalar los privilegios al SISTEMA”, explica la firma de seguridad de aplicaciones empresariales Onapsis .

SAP también abordó una vulnerabilidad de alta gravedad en BusinessObjects (CVE-2022-39014, puntuación CVSS de 7,7), que podría proporcionar a un atacante acceso a información confidencial sin cifrar.

Con un impacto en SAP GRC, la tercera vulnerabilidad de alta gravedad que SAP resolvió este mes podría ser aprovechada por un atacante autenticado para acceder a una sesión de Firefighter incluso después de que se haya cerrado en Firefighter Logon Pad. La vulnerabilidad se rastrea como CVE-2022-39801 (puntaje CVSS de 7.1).

Las cinco nuevas notas de seguridad restantes publicadas en el Security Patch Day de septiembre de 2022 de SAP tienen una calificación de “gravedad media”. Afectan a BusinessObjects, NetWeaver Enterprise Portal, NetWeaver AS ABAP y NetWeaver Application Server ABAP.

La más importante de las cinco notas de seguridad actualizadas es una nota de noticias sobre el navegador basado en Chromium en SAP Business Client, que se actualiza periódicamente.

Este mes, SAP también actualizó notas de alta prioridad relacionadas con vulnerabilidades en Knowledge Warehouse, SuccessFactors y BusinessObjects.

Fuente: https://www.securityweek.com/sap-patches-high-severity-flaws-business-one-businessobjects-grc