Los equipos de seguridad de SAP anunciaron el lanzamiento de 19 actualizaciones de seguridad para abordar diversas vulnerabilidades, tres de las cuales fueron consideradas como críticas y seis más recibieron puntajes de alta severidad. Dentro de los reportes se encuentran dos vulnerabilidades que recibieron puntajes de 9.9/10 según la escala del Common Vulnerability Scoring System (CVSS).
Una de las fallas críticas, identificada como CVE-2021-33698, fue descrita como un error de carga de archivos en SAP Business One, un popular software de gestión empresarial especializado para pequeñas empresas. La explotación de estas vulnerabilidades permitiría a los usuarios maliciosos cargar archivos de forma arbitraria.
Sobre la segunda falla crítica, identificada como CVE-2021-33690, SAP menciona que esta es una falsificación de solicitudes del lado del servidor (SSRF) en la infraestructura de desarrollo NetWeaver. La compañía enfatiza que, dado que es posible comprometer por completo los datos confidenciales que residen en el servidor e impactar su disponibilidad, es fundamental que los usuarios actualicen los sistemas afectados a la brevedad.
La tercera falla en términos de severidad, identificada como CVE-2021-33701, es una inyección SQL en el servicio SAP Near Zero Downtime Technology (NZDT), empleado por S/4HANA y el plugin móvil DMIS. La falla recibió un puntaje CVSS de 9.1/10.
Por otra parte, SAP anunció la corrección de cuatro vulnerabilidades severas. La primera de estas fallas (CVE-2021-33702) es un error de scripts entre sitios (XSS) en SAP NetWeaver Enterprise Portal aparentemente provocada por uno de los servlets en el portal. Esta vulnerabilidad recibió un puntaje CVSS de 8.3/10 y su explotación permitiría la inyección de JavaScript en un sitio web comprometido. Una segunda falla XSS fue identificada en NetWeaver Enterprise Portal, identificada como CVE-2021-33703 y con un puntaje CVSS de 8.3/10.
La siguiente falla (CVE-2021-33705) fue descrita como una vulnerabilidad SSRF en uno de los componentes en tiempo de diseño de SAP NetWeaver Enterprise Portal. La explotación de estas vulnerabilidades permitiría a los actores de amenazas no autenticados para redirigir a los usuarios a sitios web maliciosos.
La última de las fallas críticas fue identificada como CVE-2021-33707 y descrita como un error de redirección URL en SAP Knowledge Management que permitiría a los atacantes remotos redirigir a los usuarios a sitios web arbitrarios y realizar ataques de phishing a través de una URL almacenada en un componente.
El reporte completo de las vulnerabilidades encontradas está disponible en las plataformas oficiales de SAP.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.