TLP: Amber
NIVEL DE RIESGO CVSS v3.0 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por SAP a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

SAP ha publicado actualizaciones de seguridad para corregir vulnerabilidades presentes en NetWeaver AS JAVA, BusinessObjects BI Platform, Business Warehouse, S4 HANA y Solution Manager. Los identificadores asignados a las fallas más críticas son:

  1. CVE-2020-26829 (CVSS v3.0: 10.0 [Crítico])
  2. CVE-2020-26831 (CVSS v3.0: 9.6 [Crítico])
  3. CVE-2020-26838 (CVSS v3.0: 9.1 [Crítico])
  4. CVE-2020-26837 (CVSS v3.0: 8.5 [Alto])
  5. CVE-2020-26832 (CVSS v3.0: 7.6 [Alto])

Las vulnerabilidades CVE-2020-26829 y CVE-2020-26831 son ocasionadas por una falta de autenticación presentes en SAP NetWeaver AS JAVA y SAP BusinessObjects, respectivamente, las cuales pueden ocasionar que un usuario malicioso ejecute código en el dispositivo afectado.

La falla CVE-2020-26838 puede permitir que un usuario agregue código malicioso en la instancia Business Warehouse afectada.

Respecto a los errores CVE-2020-26837 y CVE-2020-26832 son causados por una falta de comprobación de ciertos datos, los cuales pueden ocasionar que usuarios maliciosos ejecuten comandos en los sistemas afectados.

Nivel de riesgo

  • CVSS v3.0: 10.0 [Crítico]
  • CVSS v3.0: 9.6 [Crítico]
  • CVSS v3.0: 9.1 [Crítico]
  • CVSS v3.0: 8.5 [Alto]
  • CVSS v3.0: 7.6 [Alto]

Sistemas/tecnologías afectadas

Vulnerabilidad CVE-2020-26829

  • SAP NetWeaver AS JAVA versión 7.11
  • SAP NetWeaver AS JAVA versión 7.20
  • SAP NetWeaver AS JAVA versión 7.30
  • SAP NetWeaver AS JAVA versión 7.31
  • SAP NetWeaver AS JAVA versión 7.40
  • SAP NetWeaver AS JAVA versión 7.50

Vulnerabilidad CVE-2020-26831

  • SAP BusinessObjects BI Platform versión 4.1
  • SAP BusinessObjects BI Platform versión 4.2
  • SAP BusinessObjects BI Platform versión 4.3

Vulnerabilidad CVE-2020-26838

  • SAP Business Warehouse versión 700
  • SAP Business Warehouse versión 701
  • SAP Business Warehouse versión 702
  • SAP Business Warehouse versión 731
  • SAP Business Warehouse versión 740
  • SAP Business Warehouse versión 750
  • SAP Business Warehouse versión 751
  • SAP Business Warehouse versión 752
  • SAP Business Warehouse versión 753
  • SAP Business Warehouse versión 754
  • SAP Business Warehouse versión 755
  • SAP Business Warehouse versión 782

Vulnerabilidad CVE-2020-26837

  • SAP Solution Manager 7.2

Vulnerabilidades CVE-2020-26808 y CVE-2020-26832

  • SAP AS ABAP versión 2011_1_620
  • SAP AS ABAP versión 2011_1_640
  • SAP AS ABAP versión 2011_1_700
  • SAP AS ABAP versión 2011_1_710
  • SAP AS ABAP versión 2011_1_730
  • SAP AS ABAP versión 2011_1_731
  • SAP AS ABAP versión 2011_1_752
  • SAP AS ABAP versión 2020
  • SAP S4 HANA versión 101
  • SAP S4 HANA versión 102
  • SAP S4 HANA versión 103
  • SAP S4 HANA versión 104
  • SAP S4 HANA versión 105

Medidas de erradicación

Referencias