SAP AG (Systeme, Anwendungen und Produkte) (Sistemas, Aplicaciones y Productos) es un importante proveedor de aplicaciones de gestión empresarial, sólo superado en capitalización de mercado por Microsoft, IBM y Oracle.
El servidor de aplicaciones web de SAP (WAS, Web Application Server) es un componente que permite interactuar con el software de gestión a través de un servidor Web. La plataforma está basada en estándares abiertos, y constituye un elemento crucial en la tecnología mySAP.
El primero de los problemas, detectados por el equipo de investigación de CYBSEC, es un vector de phishing en WAS que afecta a las versiones SAP WAS 6.10, 6.20, 6.40 y 7.00, explotable de modo remoto. Este fallo se debe a que el parámetro “sap-exiturl” permite URLs absolutas, lo que combinado con el parámetro “sap-sessioncmd”, habilitaría la posibilidad de conducir un ataque phishing.
El segundo de los problemas, de criticidad media, es un conjunto de múltiples vulnerabilidades Cross-Site Scripting, también explotables de modo remoto, y afecta a las mismas versiones citadas anteriormente. Los ataques XSS posibles se basan en inyección de código JavaScript. Se han detectado tres vectores de ataque posibles: páginas de error, el parámetro “syscmd” y SYSTEM PUBLIC.
Por último, el servidor WAS es susceptible de un problema crítico en el parámetro sap-exiturl, que posibilitaría un ataque remoto basado en la fragmentación en la respuestas http. Fragmentación que haría que a partir de una sola cabecera se considerasen dos cabeceras distintas. Al igual que en los dos casos anteriores, las versiones afectadas son SAP WAS 6.10, 6.20, 6.40 y 7.00
La recomendación más lógica ante estos problemas es que los administradores SAP actualicen mediante los parches liberados. Es igualmente aconsejable seguir los protocolos de acción descritos por el equipo de CYBSEC y que aparecen bajo el epígrafe “más información”.
La consultora también pronostica que el gasto de los usuarios finales en la nube pública…
Este dispositivo ofrece hasta 9,4 Gbps de velocidad utilizando las bandas de frecuencia de 2,4,…
El 100 % de las empresas consultadas por Palo Alto Networks ha adoptado la codificación…
Y un 49 % confiesa en un estudio de IBV que el miedo a quedarse…
El programa de la edición 2024 contará con más de setenta sesiones comandadas por expertos,…
Con una reducción media de los costes en infraestructura del 40% y de los tiempos…