Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad de SAP de abril de 2021

Actualización de seguridad de SAP de abril de 2021

Fecha de publicación: 
14/04/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business Client, versión 6.5;
  • SAP Commerce, versiones 1808, 1811, 1905, 2005 y 2011;
  • SAP NetWeaver AS JAVA (MigrationService), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Master Data Management, versiones 710 y 710.750;
  • SAP Solution Manager, versión 7.20;
  • SAP NetWeaver AS for ABAP, versiones  2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 y 2011_1_752, 2020, 731, 740, 750 y 7.30;
  • SAP S4 HANA (SAP Landscape Transformation) , versiones 101, 102, 103, 104 y 105;
  • SAP Setup, versión 9.0;
  • SAP NetWeaver AS for JAVA (Telnet Commands):
    • ENGINEAPI, versiones 7.30, 7.31, 7.40 y 7.50;
    • ESP_FRAMEWORK, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • SERVERCORE, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
    • J2EE-FRMW, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS for JAVA (Applications based on HTMLB for Java):
    • EP-BASIS, versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK-EXT , versiones 7.30, 7.31, 7.40 y 7.50;
    • FRAMEWORK, versiones 7.10 y 7.11;
  • SAP NetWeaver AS for JAVA (Customer Usage Provisioning Servlet), versiones 7.31, 7.40 y 7.50;
  • SAP Process Integration, versiones 7.10, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Manufacturing Execution, versiones 15.1, 15.2, 15.3 y 15.4;
  • SAP NetWeaver Application Server Java (Applications based on Web Dynpro Java), versiones 7.00, 7.10, 7.11, 7.20, 7.30, 731, 7.40 y 7.50;
  • SAP Focused RUN, versiones 200 y 300;
  • SAP NetWeaver AS for JAVA (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP Fiori Apps 2.0 for Travel Management in SAP ERP, versión 608.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 5 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 11 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 2 vulnerabilidades de XSS (Cross Site Scripting).
  • 1 vulnerabilidad de denegación de servicio (DoS).
  • 5 vulnerabilidades de revelación de información.
  • 5 vulnerabilidades de falta de comprobación de autenticación.
  • 1 vulnerabilidad de ejecución remota de código.
  • 5 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

  • SAP Commerce. Se corrige una vulnerabilidad de ejecución remota de código que podría permitir a un atacante no autorizado explotar las capacidades de scripting del motor de reglas para inyectar código malicioso en las reglas de origen, y permitir así la ejecución remota de código. Se ha asignado el identificador CVE-2021-27602 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-21481, CVE-2021-21482, CVE-2021-21483, CVE-2020-26832, CVE-2021-27608, CVE-2021-21485, CVE-2021-27598, CVE-2021-27603, CVE-2021-27599, CVE-2021-27604, CVE-2021-27600, CVE-2021-27601, CVE-2021-21491, CVE-2021-27609, CVE-2021-21492 y CVE-2021-27605.

Encuesta valoración