El 12 de septiembre de 2023, el Día del Parche de Seguridad de SAP ha visto el lanzamiento de 13 nuevas notas de seguridad. Además, hubo 5 actualizaciones de las Notas de seguridad publicadas anteriormente.

Las notas críticas y altas son las siguientes:

• Actualización de la nota de seguridad publicada el día del parche de abril de 2018 [crítica (10)]: actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client.
• [CVE-2023-40622; crítica] Vulnerabilidad de divulgación de información en la plataforma SAP BusinessObjects Business Intelligence (Gestión de promociones).
• Actualización de la nota de seguridad publicada el día del parche de diciembre de 2022: [CVE-2022-41272; crítica] Control de acceso inadecuado en SAP NetWeaver AS Java (búsqueda definida por el usuario).
• Actualización de la nota de seguridad publicada el día del parche de marzo de 2023: [CVE-2023-25616; crítica] Vulnerabilidad de inyección de código en SAP Business Objects Business Intelligence Platform (CMC).
• [CVE-2023-40309; crítica] Falta la verificación de autorización en SAP CommonCryptoLib.
• [CVE-2023-42472; alta] Validación de tipo de archivo insuficiente en la plataforma SAP BusinessObjects Business Intelligence (interfaz HTML de Web Intelligence).
• [CVE-2023-40308; alta] Vulnerabilidad de corrupción de memoria en SAP CommonCryptoLib.

Además, constan otras 12 vulnerabilidades medias y 2 vulnerabilidades bajas. Por favor, acudir a la publicación oficial para consultarlas.

SAP recomienda encarecidamente que el cliente visite el Portal de soporte y aplique parches de forma prioritaria para proteger su entorno SAP.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es