Actualización de seguridad de SAP de marzo de 2021

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 9 notas de seguridad y 4 actualizaciones de notas anteriores, siendo 4 de severidad crítica, 1 alta y 8 medias.

Los tipos de vulnerabilidades publicadas se corresponden con los siguientes:

• 2 vulnerabilidades de falta de comprobación de autenticación,
• 1 vulnerabilidad de inyección de código,
• 10 vulnerabilidades de validación incorrecta de entrada,
• 4 vulnerabilidades de falta de comprobación de autorización,
• 1 vulnerabilidad de SSRF (Server Side Request Forgery),
• 4 vulnerabilidades de otro tipo.

Las notas de seguridad más destacadas se refieren a:

• SAP Manufacturing Intelligence and Integrations (SAP MII): se corrige una vulnerabilidad de inyección de código muy crítica en la que un atacante puede interceptar una solicitud al servidor, inyectar código JSP malicioso en la solicitud y reenviarlo al servidor. Se ha asignado el identificador CVE-2021-21480 para esta vulnerabilidad.
• SAP NetWeaver AS JAVA (MigrationService): se corrige la verificación de autorización que podría permitir a un atacante no autorizado obtener privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Se ha asignado el identificador CVE-2021-21481 para esta vulnerabilidad.