15 julio, 2020 Por Juan José Oyagüe

El fallo afecta a los productos de SAP que utilizan el componente web SAP NetWeaver, permitiendo crear usuarios con privilegios elevados

SAP, la conocida empresa de software de gestión empresarial, acaba de publicar un parche que soluciona varios errores en SAP NetWeaver AS JAVA en su componente web. Las mayor de las vulnerabilidades afecta al asistente de configuración (‘LM Configuration Wizard’), permitiendo la creación de usuarios con privilegios sin la necesidad de estar autenticado.

Debido a sus características, la vulnerabilidad identificada como CVE-2020-6287 y bautizada como RECON ha recibido la mayor puntuación CVSS, siendo ésta de 10 sobre 10. Aunque no hay evidencias de su explotación, los clientes de SAP que utilizan este componente (más de 40.000 empresas) deben actualizar lo antes posible.

La vulnerabilidad se encuentra presente en las versiones 7.30, 7.31, 7.40 y 7.50 de SAP NetWeaver AS JAVA, y según puede leerse en la publicación lanzada por CISA habría más de 15 productos de SAP afectados. Se recomienda igualmente actualizar utilizando el parche en vez de buscar posibles formas de mitigar el problema.

SAP ha puesto a disposición de sus clientes una nota con información adicional sobre este parche, el cual soluciona esta y otras vulnerabilidades.

Más información:

SAP Security Patch Day – July 2020:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675