Descripción
SAP ha publicado actualizaciones de seguridad para corregir algunas vulnerabilidades presentes en SAP Solution Manager, SAP S4 HAN y NetWeaver AS JAVA. Los identificadores asignados a las fallas más destacadas son:
- CVE-2020-26821 – CVSS v3.0: 10.0 [Crítico]
- CVE-2020-26822 – CVSS v3.0: 10.0 [Crítico]
- CVE-2020-26823 – CVSS v3.0: 10.0 [Crítico]
- CVE-2020-26824 – CVSS v3.0: 10.0 [Crítico]
- CVE-2020-26808 – CVSS v3.0: 9.1 [Crítico]
- CVE-2020-26820 – CVSS v3.0: 9.1 [Crítico]
Las primeras cuatro vulnerabilidades están presentes en SAP Solution Manager (JAVA stack), las cuales son ocasionadas por una falta de autenticación y pueden permitir que un usuario malicioso tome el control del dispositivo afectado.
La vulnerabilidad CVE-2020-26808 afecta algunas versiones de SAP S4 HANA (DMIS) y como consecuencia un usuario malicioso puede agregar código en el dispositivo afectado.
La falla CVE-2020-26820 está presente en SAP NetWeaver AS JAVA y puede permitir que un usuario malicioso eleve privilegios en la instancia afectada.
Nivel de riesgo
- CVSS v3.0: 10.0 [Crítico]
- CVSS v3.0: 9.1 [Crítico]
Sistemas/tecnologías afectadas
Vulnerabilidad CVE-2020-26821, CVE-2020-26822, CVE-2020-26823 y CVE-2020-26824
- SAP Solution Manager
Vulnerabilidad CVE-2020-26808
- SAP S4 HANA(DMIS)
Vulnerabilidad CVE-2020-26820
- SAP NetWeaver AS JAVA
Medidas de erradicación
- Aplicar las actualizaciones liberadas por SAP a los diferentes productos afectados publicados en: https://wiki.scn.sap.com/wiki/
pages/viewpage.action?pageId= 562725571
Referencias