SAP Security Patch Day – Agosto 2021.

SAP Security Patch Day – Agosto 2021

En el día de hoy, 10 de agosto de 2021, en el SAP Security Patch Day se han publicado 14 Notas de Seguridad. Además hubo 1 actualización en una nota de seguridad publicada anteriormente.

SAP Security Patch Day – Agosto 21
 

Nota#

Título

Severidad
3071984

[CVE-2021-33698] Unrestricted File Upload vulnerability in SAP Business One

Producto Afectado - SAP Business One, Version - 10.0

Comentario AURIT: SAP Business One permite a un atacante con acceso al sistema cargar cualquier archivo (incluidos los archivos de script) sin la validación de formato de archivo adecuada.

 Hot News
3072955

[CVE-2021-33690] Server Side Request Forgery vulnerability in SAP NetWeaver Development Infrastructure (Component Build Service)

Producto Afectado - SAP NetWeaver Development Infrastructure (Component Build Service), Versions - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

Comentario AURIT: SAP NetWeaver Development Infrastructure Component Build Service permite la ejecución de ataques proxy en el servidor mediante el envío de consultas falsificadas.

 Hot News
3078312

[CVE-2021-33701] SQL Injection vulnerability in SAP NZDT Row Count Reconciliation

Producto Afectado - DMIS Mobile Plug-In, Versions - DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752, 2020

Producto Afectado - SAP S/4HANA, Versions - SAPSCORE 125,S4CORE 102, 102, 103, 104, 105

Comentario AURIT: El plugin DMIS Mobile o SAP S/4HANA permite a un atacante con acceso a una cuenta ejecutar una consulta manipulada en la herramienta NZDT para obtener acceso a la base de datos Backend.

 Hot News
3073681

[CVE-2021-33702] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal

Producto Afectado - SAP NetWeaver Enterprise Portal, Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

Comentario AURIT: En determinadas condiciones, SAP NetWeaver Enterprise Portal no codifica suficientemente los datos de los informes.

 High
3072920

[CVE-2021-33703] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal

Producto Afectado - SAP NetWeaver Enterprise Portal (Application Extensions), Versions - 7.30, 7.31, 7.40, 7.50

Comentario AURIT: Bajo ciertas condiciones, NetWeaver Enterprise Portal no codifica suficientemente los parámetros de la URL. Un atacante puede crear un enlace malicioso y enviarlo a la víctima. Un ataque exitoso resulta en una vulnerabilidad de Cross-Site Scripting (XSS).

 High
3074844

[CVE-2021-33705] Server-Side Request Forgery (SSRF) vulnerability in SAP NetWeaver Enterprise Portal

Producto Afectado - SAP NetWeaver Enterprise Portal, Versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

Comentario AURIT: El componente Iviews Editor del Portal SAP Netweaver contiene una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite a un atacante no autenticado crear una url maliciosa que, al ser pulsada por un usuario, puede realizar cualquier tipo de petición (por ejemplo, POST, GET) a cualquier servidor interno o externo.

 High
3067219

[CVE-2021-33699] Task Hijacking in SAP Fiori Client Native Mobile for Android

Producto Afectado - SAP Fiori Client Native Mobile for Android, Version - 3.2

Comentario AURIT: El secuestro de tareas en el cliente SAP Fiori afecta a las aplicaciones que se ejecutan en dispositivos Android debido a una mala configuración en su AndroidManifest.xml con sus funciones de control de tareas. Esto permite a los atacantes/malware apoderarse de las aplicaciones legítimas y robar la información sensible del usuario

 High
3073325

[CVE-2021-33700] Missing Authentication check in SAP Business One

Producto Afectado - SAP Business One, Version - 10.0

Comentario AURIT: SAP Business One permite que un atacante local con acceso al navegador de la víctima, en determinadas circunstancias, inicie sesión como la víctima sin conocer su contraseña.

 High
3073450

[CVE-2021-33691] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Development Infrastructure (Notification Service)

Producto Afectado - SAP NetWeaver Development Infrastructure (Notification Service), Versions - 7.31, 7.40, 7.50

Comentario AURIT: SAP NetWeaver Development Infrastructure Notification Serviceno codifica suficientemente las entradas controladas por el usuario, lo que da lugar a una vulnerabilidad de Cross-Site Scripting (XSS).

 Medium
3058553

[CVE-2021-33695] Multiple Vulnerabilities in SAP Cloud Connector
Additional CVEs - CVE-2021-33694, CVE-2021-33693, CVE-2021-33692

Producto Afectado - SAP Cloud Connector, Version - 2.0

Comentario AURIT: Múltiples vulnerabilidades en el SAP Cloud Connector.

 Medium
3078072

[CVE-2021-33704] Missing Authorization Check in SAP Business One (Service Layer)

Producto Afectado - SAP Business One, Version - 10.0

Comentario AURIT: La capa de servicio de SAP Business One permite a un atacante autentificado invocar ciertas funciones que de otro modo estarían restringidas a usuarios específicos.

 Medium
3002517

Update to Security Note release on June 2021 Patch Day:
[CVE-2021-21473] Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform

Producto Afectado - SAP NetWeaver AS ABAP and ABAP Platform (SRM_RFC_SUBMIT_REPORT), Versions - 700, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755

Comentario AURIT: SAP NetWeaver AS ABAP y ABAP Platform permiten a un atacante con pocos privilegios ejecutar informes utilizando un módulo de funciones habilitado de forma remota a través de la red.

 Medium
3076399

[CVE-2021-33707] URL Redirection vulnerability in SAP NetWeaver (Knowledge Management)

Producto Afectado - SAP NetWeaver (Knowledge Management), Versions - 7.30, 7.31, 7.40, 7.50

Comentario AURIT: SAP NetWeaver Knowledge Management permite a los atacantes remotos redirigir a los usuarios a sitios web arbitrarios y realizar ataques de phishing a través de una URL almacenada en un componente.

 Medium
3062085

[CVE-2021-33696] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (Crystal Report)

Producto Afectado - SAP BusinessObjects Business Intelligence Platform (Crystal Report), Versions - 420, 430

Comentario AURIT: SAP BusinessObjects Business Intelligence Platform (Crystal Report) no codifica suficientemente las entradas controladas por el usuario y, por lo tanto, un atacante autorizado puede explotar la vulnerabilidad XSS.

 Medium
3063048

[CVE-2021-33697] Reverse Tabnabbing in SAP BusinessObjects Business Intelligence Platform (SAP UI5)

Producto Afectado - SAP BusinessObjects Business Intelligence Platform (SAPUI5), Versions - 420, 430

Comentario AURIT: Bajo ciertas condiciones, la aplicación SAPUI5 de SAP BusinessObjects puede permitir que un atacante no autenticado redirija a los usuarios a un sitio malicioso debido a las vulnerabilidades de Reverse Tabnabbing.

 Medium
Etiquetado

Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Block all cookies with personal data
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Remember which cookies group you accepted
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Recuerde sus detalles de inicio de sesión
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar