TLP: Amber
NIVEL DE RIESGO CVSSv3.0 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por SAP a los productos afectados.
Vector de ataque: Remoto.
Impacto: Control total del dispositivo afectado.

Descripción

SAP ha publicado actualizaciones para corregir algunas vulnerabilidades presentes en SAP Solution Manager, Focused Run, NetWeaver, NetWeaver AS JAVA, SAP ERP, Business Planning and Consolidation y SAP Commerce Cloud. Los identificadores asignados a las fallas más destacadas son:

  1. CVE-2020-6364 – CVSS v3.0: 10.0 [Crítico]
  2. CVE-2020-6367 – CVSS v3.0: 8.2 [Alto]
  3. CVE-2020-6366 – CVSS v3.0: 7.6 [Alto]
  4. CVE-2020-6369 – CVSS v3.0: 7.5 [Alto]
  5. CVE-2020-6319 – CVSS v3.0: 6.1 [Medio]
  6. CVE-2020-6301 – CVSS v3.0: 5.4 [Medio]
  7. CVE-2020-6272 – CVSS v3.0: 5.4 [Medio]

La vulnerabilidad más crítica, CVE-2020-6364 está presente en algunas versiones de SAP Solution Manager y SAP Focused Run, la cual puede permitir que un usuario malicioso ejecute código de manera remota en el dispositivo afectado, permitiendo que tome el control total del sistema, además de irrumpir la disponibilidad de este.

Las fallas consideradas con nivel de criticad alto, pueden permitir que un usuario malintencionado divulgue información confidencial, omita algunas autenticaciones o agregue código malicioso en el dispositivo afectado.

Nivel de riesgo

  • CVSS v3.0: 10.0 [Crítico]
  • CVSS v3.0: 8.3 [Alto]
  • CVSS v3.0: 8.2 [Alto]
  • CVSS v3.0: 7.6 [Alto]
  • CVSS v3.0: 7.2 [Alto]
  • CVSS v3.0: 6.1 [Medio]
  • CVSS v3.0: 5.4 [Medio]

Sistemas/tecnologías afectadas:

Vulnerabilidades CVE-2020-6364 y CVE-2020-6369

  • SAP Solution Manager 9.7
  • SAP Solution Manager 10.1
  • SAP Solution Manager 10.5
  • SAP Solution Manager 10.7
  • SAP Focused Run 9.7
  • SAP Focused Run 10.1
  • SAP Focused Run 10.5
  • SAP Focused Run 10.7

Vulnerabilidades CVE-2020-6367 y CVE-2020-6366

  • SAP NetWeaver 7.20
  • SAP NetWeaver 7.30
  • SAP NetWeaver 7.31
  • SAP NetWeaver 7.40
  • SAP NetWeaver 7.50

Vulnerabilidad CVE-2020-6319

  • SAP NetWeaver Application Server Java 7.10
  • SAP NetWeaver Application Server Java 7.11
  • SAP NetWeaver Application Server Java 7.20
  • SAP NetWeaver Application Server Java 7.30
  • SAP NetWeaver Application Server Java 7.31
  • SAP NetWeaver Application Server Java 7.40
  • SAP NetWeaver Application Server Java 7.50

Vulnerabilidad CVE-2020-6272

  • SAP Commerce Cloud 1808
  • SAP Commerce Cloud 1811
  • SAP Commerce Cloud 1905
  • SAP Commerce Cloud 2005

Vulnerabilidad CVE-2020-6301

  • SAP ERP 600
  • SAP ERP 602
  • SAP ERP 603
  • SAP ERP 604
  • SAP ERP 605
  • SAP ERP 606
  • SAP ERP 607
  • SAP ERP 608

Medidas de erradicación

  • Aplicar las actualizaciones liberadas por SAP a los diferentes productos afectados.

Referencias