SAP Security Patch Day Mayo 2024 - Vulnerabilidades
VSA24-01015En el CSIRT de Gobierno informamos frecuentemente de vulnerabilidades importantes que pueden afectar sus aplicaciones, datos o equipos.
En esta ocasión, se trata de 14 vulnerabilidades que afectan a distintos productos de SAP y que fueron parchadas por la compañía como parte de su Security Patch Day de mayo 2024.
![Preview VSA24-01015](https://media.ciberseguridad.gob.cl/images/VSA24-01015.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Las de mayor severidad son CVE-2019-17495 (de puntaje CVSS 9.8), vulnerabilidad de inyección CSS en Swagger UI y CVE-2024-33006 (de puntaje CVSS 9.6), vulnerabilidad de carga de archivos en NetWearer.
Además de las 14 nuevas vulnerabilidades, SAP publicó 3 actualizaciones de paquetes de parches mensuales anteriores.
Vulnerabilidades
ID | CVSS | EPSS |
---|---|---|
CVE-2019-17495 | 9.8 | |
CVE-2024-33006 | 9.6 | |
CVE-2022-36364 | 8.8 | |
CVE-2024-28165 | 8.1 | |
CVE-2024-32730 | 6.5 | |
CVE-2024-34687 | 6.5 | |
CVE-2024-32733 | 6.1 | |
CVE-2024-33002 | 6.1 | |
CVE-2024-32731 | 5.5 | |
CVE-2024-33008 | 4.9 | |
CVE-2024-33004 | 4.3 | |
CVE-2024-33009 | 3.7 | |
CVE-2024-33000 | 3.5 | |
CVE-2024-33007 | 3.5 |
Versiones Afectadas
Producto | Versiones |
---|---|
SAP Business Client |
|
SAP NetWeaver Application Server ABAP and ABAP Platform |
|
SAP BusinessObjects (Business Intelligence Platform) |
|
SAP Enable Now |
|
SAP S/4HANA (Manage Catalog Items and Cross-Catalog search) |
|
SAP Process Integration |
|
SAP Replication Server |
|
SAP S/4 HANA (Manage Bank Statement Reprocessing Rules) |
|
SAP BusinessObjects Business Intelligence Platform (Webservices) |
|
SAP Global Label Management (GLM) |
|
SAP Bank Account Management |
|
SAPUI5 |
|
Mitigación
Implementar los parches puestos a disposición por SAP.