SAP

Actualización de seguridad de SAP de febrero de 2021

Descripción SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 6 actualizaciones de notas anteriores, siendo 3 de severidad crítica,...

Leer más
Actualización de seguridad de SAP de enero de 2021

Descripción SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 7 actualizaciones de notas anteriores, siendo 5 de las nuevas...

Leer más
Actualización de seguridad de SAP de diciembre de 2020

Descripción SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual. Detalle SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de...

Leer más
Múltiples vulnerabilidades en SAP

Descripción SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 15 notas de seguridad y 6 actualizaciones de notas anteriores, siendo 2 de las nuevas...

Leer más
Múltiples vulnerabilidades en SAP

Descripción SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 10 notas de seguridad y 6 actualizaciones, siendo 4 de ellas de severidad crítica, 2...

Leer más

Descripción

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 6 actualizaciones de notas anteriores, siendo 3 de severidad crítica, 2 altas y 8 medias. Los tipos de vulnerabilidades publicadas se corresponden con los siguientes: Las notas de seguridad más destacadas se refieren a: Un atacante autenticado, con privilegios para editar las reglas drools en SAP Commerce Cloud, podría ser capaz de inyectar código malicioso en ellas. Esto permitiría la ejecución remota de código cuando las reglas son ejecutadas, pudiendo comprometer el host subyacente y afectar a la confidencialidad, integridad y disponibilidad de la aplicación. Se ha asignado el identificador CVE-2021-21477 para esta vulnerabilidad. Un fallo de tipo tabnabbing inverso podría permitir que un documento enlazado, que se abra en una nueva pestaña o ventana del navegador, redirija o reemplace la página original por una página de phishing sin ninguna interacción por parte del usuario.

Recursos afectados

Solución

Para solucinar esto se debe visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante. Para las vulnerabilidades del tipo tabnabbing inverso, es posible aplicar las siguientes medidas de mitigación: En HTML: Añadir el atributo rel en los enlaces HTML: <a href="https://ourpartner.com" target="_blank" rel="noopener noreferrer">texto</a>. Añadir directamente en la cabecera HTTP: Referrer-Policy: noreferrer. Además, varios de los principales proveedores de navegadores han empezado a proporcionar un comportamiento implícito de "rel=noopener" en caso de utilizar target="_blank". En las versiones de JavaScript, mediante la siguiente función: function openPopup(url, name, options){ // Abrir la ventana emergente y establecer la instrucción de política de apertura y referencia. var newWin = window.open(null, name, 'noopener,noreferrer,' + options); // Restablecer el enlace del abridor. newWin.opener = null; // Ahora carga la url correcta. newWin.location = url; }