El proveedor de software empresarial SAP ha publicado sus actualizaciones de seguridad de abril de 2023 para varios de sus productos, que incluyen correcciones para dos vulnerabilidades de gravedad crítica que afectan al agente de diagnóstico de SAP y a la plataforma de inteligencia empresarial de SAP BusinessObjects.

En total, SAP ha publicado 24 notas, 19 de las cuales se refieren a nuevos temas de diversa importancia y cinco son actualizaciones de boletines anteriores.

• CVE-2023-27267 (9.0): Validación de entrada insuficiente y problema de autenticación faltante que afecta OSCommand Bridge de SAP Diagnostics Agent, versión 720, lo que permite a un atacante ejecutar scripts en agentes conectados y comprometer completamente el sistema.
• CVE-2023-28765 (9.8): vulnerabilidad de divulgación de información que afecta a SAP BusinessObjects Business Intelligence Platform (Promotion Management), versiones 420 y 430, lo que permite a un atacante con privilegios básicos obtener acceso al archivo lcmbiar y descifrarlo. Esto permitiría al atacante acceder a las contraseñas de los usuarios de la plataforma y apoderarse de sus cuentas para realizar acciones maliciosas adicionales.
• CVE-2023-29186 (8.7): falla de cruce de directorios que afecta las versiones 707, 737, 747 y 757 de SAP NetWeaver, lo que permite que un atacante cargue y sobrescriba archivos en el servidor SAP vulnerable.

Las 11 fallas de seguridad restantes reveladas en el último boletín de seguridad de SAP se refieren a vulnerabilidades de gravedad baja a media.

Se recomienda seguir las disposiciones que el fabricante recopila en el documento, facilitado en el enlace de referencia.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es