SAP Security Patch Day Mayo 2024 - Vulnerabilidades
VSA24-01015En el CSIRT de Gobierno informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.
En esta ocasión, se trata de 14 vulnerabilidades que afectan a distintos productos de SAP y que fueron parchadas por la compañía como parte de su Security Patch Day de mayo 2024.
Las de mayor severidad son CVE-2019-17495 (de puntaje CVSS 9.8), vulnerabilidad de inyección CSS en Swagger UI y CVE-2024-33006 (de puntaje CVSS 9.6), vulnerabilidad de carga de archivos en NetWearer.
Además de las 14 nuevas vulnerabilidades, SAP publicó 3 actualizaciones de paquetes de parches mensuales anteriores.
Vulnerabilidades
| ID | CVSS | EPSS |
|---|---|---|
| CVE-2019-17495 | 9.8 | |
| CVE-2024-33006 | 9.6 | |
| CVE-2022-36364 | 8.8 | |
| CVE-2024-28165 | 8.1 | |
| CVE-2024-32730 | 6.5 | |
| CVE-2024-34687 | 6.5 | |
| CVE-2024-32733 | 6.1 | |
| CVE-2024-33002 | 6.1 | |
| CVE-2024-32731 | 5.5 | |
| CVE-2024-33008 | 4.9 | |
| CVE-2024-33004 | 4.3 | |
| CVE-2024-33009 | 3.7 | |
| CVE-2024-33000 | 3.5 | |
| CVE-2024-33007 | 3.5 |
Versiones Afectadas
| Producto | Versiones |
|---|---|
| SAP Business Client |
|
| SAP NetWeaver Application Server ABAP and ABAP Platform |
|
| SAP BusinessObjects (Business Intelligence Platform) |
|
| SAP Enable Now |
|
| SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) |
|
| SAP Process Integration |
|
| SAP Replication Server |
|
| SAP S/4 HANA (Manage Bank Statement Reprocessing Rules) |
|
| SAP BusinessObjects Business Intelligence Platform (Webservices) |
|
| SAP Global Label Management (GLM) |
|
| SAP Bank Account Management |
|
| SAPUI5 |
|
Mitigación
Implementar los parches puestos a disposición por SAP.