Notas de Seguridad SAP, Julio 2024

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas julio 2024

Resumen y highlights del Mes

El número total de notas/parches ha sido de 18, 5 más que el mes pasado. Este mes no ha habido ninguna HotNew, al igual que el mes pasado. Por otro lado, cabe destacar que el número de notas de criticidad alta también se mantiene con respecto al mes pasado: 2 en este mes. Como siempre dejaremos las notas medias y bajas sin revisar, pero daremos detalle de un total de 2 notas (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 18 notas para todo el mes (las 18 del patch Tuesday, 16 nuevas y 2 actualizaciones).

Revisaremos en detalle un total de 2 notas, las 2 notas altas de este mes, que se tratan de notas nuevas (aquellas de CVSS mayor o igual a 7)

  1. La nota más crítica del mes (con CVSS 7,7) es una nota nueva relacionada con “Missing Authorization check in PDCE.
  2. La siguiente en criticidad (CVSS 7,2) es una nota alta relacionada con “Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce”.
  3. La siguiente en criticidad (CVSS 6,9) es una nota media relacionada con “Information Disclosure vulnerability in SAP Landscape Management”.
  4. Las siguientes en criticidad (CVSS 6,5 y 6,1) se tratan de notas medias relacionadas con “Unrestricted file upload in SAP Document Builder (HTTP service)”, “Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor” y “Multiple vulnerabilities in SAP”.
  5. Este mes el tipo más predominante es relacionado con “Information Disclosure vulnerability in SAP” (3/18 en patch day) y con “Missing Authorization check” (3/18 en patch day).

En la gráfica podemos ver la clasificación de las notas de julio, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

  1. Missing Authorization check in PDCE (3483344): PDCE elements do not properly verify authorization for authenticated users, allowing privilege escalation. This allows an attacker to access sensitive information, severely affecting the confidentiality of the application. As a solution, the affected functions have been disabled to restrict access. It is recommended to implement the corresponding support package or follow the remediation instructions in the security note. CVSS v3 Base Score: 7,7 / 10 [CVE-2024-39592]
  2.  Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce (3490515): In SAP Commerce, a user can abuse the “forgotten password” functionality to access a Composable Storefront B2B site with early login and registration, without needing approval from the merchant. If the site is not isolated, this can also give access to other non-isolated sites with early login, even if they do not have registration enabled. As a solution, SAP Commerce Cloud addresses this vulnerability by not sending password reset emails if the customer requesting a password reset has not been pre-approved by the merchant. To do so, a series of patches mentioned in the note must be installed. CVSS v3 Base Score 7,2 / 10 [CVE-2024-39597].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (julio):

Digital Library (sap.com)

SAP Patch Day: July 2024 – Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

  • Product - SAP PDCE, Version – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
  • Product - SAP Commerce, Version – HY_COM 2205, COM_CLOUD 2211
  • Product- SAP Landscape Management, Version – VCM 3.00
  • Product- SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
  • Product- SAP NetWeaver Knowledge Management XMLEditor, Version – KMC-WPC 7.50
  • Product- SAP CRM WebClient UI, Versions – S4FND 102, 103, 104, 105, 106, 107, 108, WEBCUIF 701, 731, 746, 747, 748, 800, 801
  • Product- SAP Business Warehouse – Business Planning and Simulation, Versions – SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, SAP_BW_VIRTUAL_COMP 701
  • Product - SAP S/4HANA Finance (Advanced Payment Management), Versions – S4CORE 107, 108
  • Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
  • Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
  • Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
  • Product – SAP GUI for Windows, Version – BC-FES-GUI 8
  • Product – SAP Transportation Management (Collaboration Portal), Versions – SAPTMUI 140, 150, 160, 170
  • Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Version – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
  • Product – SAP Enable Now, Versions – WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704
  • Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
  • Product – SAP CRM WebClient UI, Versions – S4FND 104
  • Product – SAP Enable Now, Versions – WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

keyboard_arrow_up