TLP:CLEAR
PAP:WHITE
Parches de SAP de junio de 2023
Esta publicación comparte información sobre las notas de seguridad que corrigen las
vulnerabilidades descubiertas en los productos de SAP. El 13 de junio de 2023, SAP Security Patch Day vio el
lanzamiento de 8 nuevas notas de seguridad. Además, había
5 actualizaciones de la nota de seguridad publicada anteriormente.
- Actualización de la nota de seguridad publicada el día del parche de diciembre de 2021: [CVE-2021-42063; alta] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP Knowledge Warehouse.
- [CVE-2023-33991; alta] Secuencias de comandos entre sitios almacenadas (XSS almacenado) vulnerabilidad en UI5 Variant Management.
- [CVE-2023-2827; alta] Autenticación faltante en SAP Plant Connectivity y Conector de producción para SAP Digital Manufacturing.
- Actualización de la nota de seguridad publicada el día del parche de mayo de 2023: [CVE-2023-30743; alta] Neutralización incorrecta de entrada en SAPUI5.
- Actualización de la nota de seguridad publicada el día del parche de febrero de 2022: [CVE-2022-22542; media] Vulnerabilidad de divulgación de información en SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer).
- [CVE-2023-33984; media] Vulnerabilidad de Cross-Site Scripting (XSS) en NetWeaver (Design Time Repository).
- [CVE-2023-33985; media] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Enterprise Portal.
- [CVE-2023-33986; media] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP CRM ABAP (Grantor Management).
- Actualización 1 a la nota de seguridad 3315971 - [CVE-2023-30742; media] Vulnerabilidad de Cross-Site dScripting (XSS) en SAP CRM (WebClient UI).
- Actualización de la nota de seguridad publicada el día del parche de mayo de 2023: [CVE-2023-30742; media] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP CRM (IU de cliente web).
- Actualización de la nota de seguridad publicada el día del parche de mayo de 2023: [CVE-2023-31406; media] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP Plataforma BusinessObjects Business Intelligence.
- [CVE-2023-32115; media] Inyección SQL en Master Data Synchronization (MDS COMPARE TOOL).
- [CVE-2023-32114; baja] Denegación de Servicio en SAP NetWeaver (Change and Transport System).
- SAP Knowledge Warehouse, versiones - 7.30, 7.31, 7.40, 7.50
- SAP UI5 Variant Management, Versions – SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, UI_700 200
- SAP Plant Connectivity, Version – 15.5
- SAPUI5, Versions – SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757, UI_700 200
- SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer), Versions - 104, 105, 106
- SAP NetWeaver (Design Time Repository), Versions - 7.50
- SAP NetWeaver Enterprise Portal, Versions – 7.50
- SAP CRM ABAP (Grantor Management), Versions – 430
- SAP CRM (WebClient UI), Versions – S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, WEBCUIF 700, WEBCUIF 701, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800, WEBCUIF 80
- SAP BusinessObjects Business Intelligence Platform, Versions – 420, 430
- Master Data Synchronization (MDS COMPARE TOOL), Version - SAP_APPL 600, 602, 603, 604, 605, 606, 616
- SAP NetWeaver (Change and Transport System), Version - 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757
SAP recomienda encarecidamente que el cliente visite el Portal de soporte y aplique parches con prioridad a proteger su entorno SAP. Disponible en el enlace de Referencia.
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo
csirt@seresco.es