Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad de SAP de agosto de 2021

Actualización de seguridad de SAP de agosto de 2021

Fecha de publicación: 
11/08/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SAP Business One, versión 10.0;
  • SAP BusinessObjects Business Intelligence Platform (Crystal Report, SAPUI5), versiones 420 y 430;
  • SAP S/4HANA, versiones SAPSCORE 125, S4CORE 102, 102, 103, 104 y 105;
  • SAP NetWeaver Enterprise Portal (Application Extensions), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Enterprise Portal, versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Development Infrastructure (Component Build Service), versiones 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50;
  • SAP NetWeaver Development Infrastructure (Notification Service), versiones 7.31, 7.40 y 7.50;
  • SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT), versiones 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754 y 755  ;
  • SAP NetWeaver (Knowledge Management), versiones 7.30, 7.31, 7.40 y 7.50;
  • SAP Fiori Client Native Mobile para Android, versión 3.2;
  • SAP Cloud Connector, versión 2.0;
  • DMIS Mobile Plug-In, versiones DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752 y 2020.
Descripción: 

SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual correspondiente al mes de agosto de 2021.

Solución: 

Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle: 

SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad y 1 actualización de notas anteriores, siendo 3 de severidad crítica, 5 de severidad alta y 7 de severidad media.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

  • 4 vulnerabilidades de XSS (Cross-Site Scripting);
  • 2 vulnerabilidades de SSRF (Server-Side Request Forgery);
  • 3 vulnerabilidades de falta de comprobación de autenticación;
  • 2 vulnerabilidades de inyección de código;
  • 1 vulnerabilidad de inyección SQL;
  • 1 vulnerabilidad de subida no restringida de archivo;
  • 1 vulnerabilidad de redirección URL;
  • 3 vulnerabilidades de otro tipo.

Las nuevas notas de seguridad más destacadas se refieren a:

  • SAP Business One: se ha corregido una vulnerabilidad de subida no restringida de archivos que podría permitir a un atacante cargar archivos, incluidos archivos de script, en el servidor. Se le ha asignado el identificador CVE-2021-33698 a esta vulnerabilidad.
  • SAP NetWeaver (SAP NWDI): se ha corregido una vulnerabilidad de SSRF que podría permitir a un atacante realizar ataques proxy mediante el envío de consultas falsificadas. Se le ha asignado el identificador CVE-2021-33690 a esta vulnerabilidad.
  • Near Zero Downtime (NZDT): Se corrige una vulnerabilidad de inyección SQL. Se le ha asignado el identificador CVE-2021-33701 a esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-33702, CVE-2021-33703, CVE-2021-33705, CVE-2021-33699, CVE-2021-33700, CVE-2021-33691, CVE-2021-33695, CVE-2021-33704, CVE-2021-21473, CVE-2021-33707, CVE-2021-33696 y CVE-2021-33697.

Encuesta valoración