SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad, de las cuales 4 son actualizaciones de notas de seguridad publicadas con anterioridad (repartidas entre una de severidad crítica, 2 de severidad alta y una de severidad media), 1 de severidad crítica, 2 de severidad alta y 8 de severidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
- 3 vulnerabilidades de divulgación de información.
- 1 vulnerabilidad de actualizaciones de seguridad para el control del navegador Chromium.
- 1 vulnerabilidad de aislamiento incorrecto de la red.
- 1 vulnerabilidad de denegación de servicio.
- 1 vulnerabilidad de aprovechamiento de privilegios.
- 2 vulnerabilidades de validación incorrecta de XML.
- 3 vulnerabilidades de Cross-Site Scripting.
- 1 vulnerabilidad de divulgación de ruta de archivo.
- 2 vulnerabilidades de Cross-Site Request Forgery.
Las vulnerabilidades más relevantes son las siguientes:
- SAP BusinessObjects BI Suite tiene una vulnerabilidad de divulgación de información. Un atacante puede usarlo para revelar información adicional (datos del sistema, información de depuración, etc.) que le ayudaría a conocer el sistema y planificar otros ataques. Se ha asignado el identificador CVE-2018-2471 para esta vulnerabilidad.
- El proyecto Gardener tiene una vulnerabilidad de aislamiento incorrecto de la red, lo que puede permitir que un atacante actuando como administrador en un shoot cluster comprometa el seed cluster correspondiente u otros seed clusters controlados por este seed cluster. Se ha asignado el identificador CVE-2018-2475 para esta vulnerabilidad.
- SAP Plant Connectivity (PCo) tiene una vulnerabilidad de denegación de servicio (DoS) que podría permitir a un atacante finalizar un proceso del componente vulnerable. Se han asignado los identificadores CVE-2018-12585 y CVE-2018-12086 para esta vulnerabilidad.
El resto de identificadores CVE presentes en el informe mensual de octubre de 2018 de SAP son: CVE-2018-2465, CVE-2018-2470, CVE-2018-2472, CVE-2018-2466, CVE-2017-12069, CVE-2018-2467, CVE-2018-2469, CVE-2018-2474, CVE-2018-2474 y CVE-2018-2468.
