Notas de Seguridad SAP, Noviembre 2024

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Notas noviembre 2024

Resumen y highlights del Mes

Tenemos un total de 10 notas para todo el mes (las 10 del patch Tuesday, 8 nuevas y 2 actualizaciones).

Revisaremos en detalle un total de 2 notas, las notas altas de este mes, que se tratan de 1 actualización y 1 nota nueva (aquellas de CVSS mayor o igual a 7).

1. La nota más crítica del mes (con CVSS 8,8) es una nota con prioridad alta relacionada con “ Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher”.
2. La siguiente en criticidad (CVSS 7,7) se trata de una actualización de la nota publicada en julio de este año, relacionada con “Multiple vulnerabilities in SAP Enterprise Project Connection”.
3. Este mes el tipo más predominante está relacionado con “Missing Authorization check in SAP” (4/10 en patch day).

En la gráfica podemos ver la clasificación de las notas de noviembre, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

1. Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher(3520281): An unauthenticated attacker can create a malicious link that, when executed in the victim’s browser (XXS) or transmitted to another server (SSRF), gives the attacker the ability to execute arbitrary code on the server, totally compromising confidentiality, integrity and availability. CVSS v3 Base Score 8,8/ 10 [CVE-2024-47590]
2. Update – Missing Authorization check in SAP PDCE(3483344): Elements of PDCE does not perform necessary authorization checks for an authenticated user, resulting in escalation of privileges. This allows an attacker to read sensitive information causing high impact on the confidentiality of the application The update contains corrections for SEM-BW 602 to SEM-BW 748 .CVSS v3 Base Score 7,7/ 10 [CVE-2024-39592].

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (noviembre):

SAP Security Patch Day – November 2024

SAP Patch Day: November 2024 – Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

• SAP Web Dispatcher, Versions – WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13
• SAP PDCE, Version – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
• SAP NetWeaver AS Java (System Landscape Directory), Versions – LM-SLD 7.5
• SAP NetWeaver Application Server Java (Logon Application), Versions – SERVERCORE 7.5
• SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12, 9.13
• SAP NetWeaver Java (Software Update Manager), Versions – SUM 1.1
• SAP Cash Management (Cash Operations), Version – S4CORE 103, 104, 105, 106, 107, 108
• SAP Bank Account Management, Version – 100, 101, 102, 103, 104, 105, 106, 107, 108