TLP: Amber
NIVEL DE RIESGO CVSS v3.0 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por SAP a los productos afectados.
Vector de ataque: Remoto.
Impacto: Control total del dispositivo afectado.

Descripción

SAP ha publicado actualizaciones de seguridad para corregir algunas vulnerabilidades presentes en SAP Solution Manager, SAP S4 HAN y NetWeaver AS JAVA. Los identificadores asignados a las fallas más destacadas son:

  1. CVE-2020-26821 – CVSS v3.0: 10.0 [Crítico]
  2. CVE-2020-26822 – CVSS v3.0: 10.0 [Crítico]
  3. CVE-2020-26823 – CVSS v3.0: 10.0 [Crítico]
  4. CVE-2020-26824 – CVSS v3.0: 10.0 [Crítico]
  5. CVE-2020-26808 – CVSS v3.0: 9.1 [Crítico]
  6. CVE-2020-26820 – CVSS v3.0: 9.1 [Crítico]

Las primeras cuatro vulnerabilidades están presentes en SAP Solution Manager (JAVA stack), las cuales son ocasionadas por una falta de autenticación y pueden permitir que un usuario malicioso tome el control del dispositivo afectado.

La vulnerabilidad CVE-2020-26808 afecta algunas versiones de SAP S4 HANA (DMIS) y como consecuencia un usuario malicioso puede agregar código en el dispositivo afectado.

La falla CVE-2020-26820 está presente en SAP NetWeaver AS JAVA y puede permitir que un usuario malicioso eleve privilegios en la instancia afectada.

Nivel de riesgo

  • CVSS v3.0: 10.0 [Crítico]
  • CVSS v3.0: 9.1 [Crítico]

Sistemas/tecnologías afectadas

Vulnerabilidad CVE-2020-26821, CVE-2020-26822, CVE-2020-26823 y CVE-2020-26824

  • SAP Solution Manager

Vulnerabilidad CVE-2020-26808

  • SAP S4 HANA(DMIS)

Vulnerabilidad CVE-2020-26820

  • SAP NetWeaver AS JAVA

Medidas de erradicación

Referencias