Vulnerabilidades críticas en productos SAP
agosto 24, 2022

Se han reportado 2 vulnerabilidades críticas explotadas activamente que afectan a productos SAP, que permitirían a un atacante remoto robar información confidencial del sistema, manejo incorrecto de buffer de memoria compartida, así como obtener el control total del equipo afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”. Las mismas se detallan a continuación: 

  • CVE-2022-22536, de severidad “crítica”, con una puntuación asignada de 10.0. Esta vulnerabilidad debe a una falla del tipo request smugling y request concatenation sin autenticación para suplantar la identidad a la víctima o envenenar cachés Web intermediarias. Esto permitiría a un atacante no autenticado robar información confidencial del sistema, así como tomar control total del equipo afectado. 
  • CVE-2022-22532, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad debe a una falla en SAP NetWeaver Application Server Java al procesar ciertas peticiones HTTP especialmente diseñadas. Esto permitiría a un atacante no autenticado desencadenar un manejo incorrecto del buffer de memoria compartida, para así robar información confidencial del sistema e incluso suplantar la identidad de la víctima.  

Los productos afectados de SAP son:  

  • SAP NetWeaver Application Server Java, versiones KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNEL 7.22, 7.49, 7.53. 
  • SAP NetWeaver Application Server ABAP. 
  • ABAP Platform. 
  • SAP Content Server, versión 7.53.  
  • SAP Web Dispatcher. 

Recomendamos instalar las actualizaciones correspondientes provistas por SAP en el siguiente enlace: 

Referencias:  

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *