TLP: White
NIVEL DE RIESGO CVSS v3.0 – 9.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por SAP a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código arbitrario en el dispositivo afectado.

Descripción

SAP ha publicado actualizaciones para corregir algunas vulnerabilidades presentes en NetWeaver Application Server (AS), Business Objects, ABAP Server, Banking Services y Adaptive Server Enterprise. Los identificadores asignados a estas fallas son:

  1. CVE-2020-6284 – CVSS v3.0: 9.0 [Crítico]
  2. CVE-2020-6294 – CVSS v3.0: 8.5 [Alto]
  3. CVE-2020-6298 – CVSS v3.0: 8.3 [Alto]
  4. CVE-2020-6296 – CVSS v3.0: 8.3 [Alto]
  5. CVE-2020-6309 – CVSS v3.0: 7.5 [Alto]
  6. CVE-2020-6293 – CVSS v3.0: 7.3 [Alto]
  7. CVE-2020-6295 – CVSS v3.0: 7.0 [Alto]
  8. CVE-2020-6295 – CVSS v3.0: 7.0 [Alto]
  9. CVE-2020-6286 – CVSS v3.0: 5.3 [Medio]

La primera vulnerabilidad está presente en el componente de gestión de NetWeaver AS y puede permitir que un usuario remoto agregue código arbitrario en la instancia afectada.

Las fallas consideradas con nivel de criticad alto, pueden permitir que un usuario evite ciertas autenticaciones, divulgue información confidencial o agregue código malicioso en el dispositivo afectado.

Aunado a lo anterior, SAP actualizó su aviso de seguridad relacionado con la vulnerabilidad CVE-2020-6287 (CVSS v3.0: 10.0 [Crítico]), la cual fue dada a conocer y corregida el mes pasado. La nueva falla agregada, CVE-2020-6286, es ocasionada por una falta de validación de datos de entrada y puede permitir que un usuario obtenga acceso a información del dispositivo afectado.

Nivel de riesgo

  • Crítico
  • Alto
  • Medio

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2020-6284, CVE-2020-6287 y CVE-2020-6293

  • SAP NetWeaver AS 7.30
  • SAP NetWeaver AS 7.31
  • SAP NetWeaver AS 7.40
  • SAP NetWeaver AS 7.50

Vulnerabilidad CVE-2020-6294

  • SAP Business Objects 4.3
  • SAP Business Objects 4.2

Vulnerabilidad CVE-2020-6298

  • SAP Banking Services 400
  • SAP Banking Services 450
  • SAP Banking Services 500

Vulnerabilidad CVE-2020-6296

  • SAP ABAP Server 700
  • SAP ABAP Server 701
  • SAP ABAP Server 702
  • SAP ABAP Server 710
  • SAP ABAP Server 711
  • SAP ABAP Server 730
  • SAP ABAP Server 731
  • SAP ABAP Server 740
  • SAP ABAP Server 750
  • SAP ABAP Server 751
  • SAP ABAP Server 753
  • SAP ABAP Server 755

Vulnerabilidad CVE-2020-6309

  • SAP NetWeaver AS 7.10
  • SAP NetWeaver AS 7.11
  • SAP NetWeaver AS 7.20
  • SAP NetWeaver AS 7.30
  • SAP NetWeaver AS 7.31
  • SAP NetWeaver AS 7.40
  • SAP NetWeaver AS 7.50

Vulnerabilidad CVE-2020-6295

  • Adaptive Server Enterprise 16.0

Medidas de erradicación

  • Aplicar las actualizaciones liberadas por SAP a los diferentes productos afectados.

Referencias