Especialistas en seguridad informática reportan el hallazgo de tres fallas de seguridad en diversos productos complementarios de SAP, la popular solución de administración empresarial. Según el reporte, la explotación de estas vulnerabilidades permitiría la ejecución de código arbitrario en los sistemas comprometidos.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2021-21477: Una vulnerabilidad no especificada en SAP Commerce permitiría a un usuario autenticado remoto enviar una solicitud especialmente diseñada a la aplicación y ejecutar código arbitrario en el sistema objetivo.

Acorde a los expertos en seguridad informática, la vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su explotación permitiría el compromiso total del sistema afectado. La falla reside en las siguientes versiones de SAP Commerce:

  • 1808, 1811, 1905, 2005, 2011

CVE-2021-21475: Un error de validación de entrada al procesar secuencias de recorrido de directorio en SAP NetWeaver Master Data Management permitiría a los actores de amenazas remotos enviar solicitudes HTTP especialmente diseñadas para acceder a archivos arbitrarios en el sistema afectado.

Esta falla recibió un puntaje de 5.1/10 y reside en las siguientes versiones de SAP NetWeaver Master Data Management Server:

  • 710, 710.750

CVE-2021-21472: Los requisitos de contraseña débil predeterminados que no requieren establecer una contraseña de servidor durante la instalación de SAP NetWeaver Master Data Management permiten a los usuarios remotos obtener acceso no autorizado al sistema vulnerable.

Esta es una falla de severidad media que recibió un puntaje de 4.7/10 en la escala CVSS y reside en las siguientes versiones de SAP NetWeaver Master Data Management Server:

  • 710, 710.750

Si bien las fallas pueden ser explotadas por usuarios remotos a través del envío de solicitudes especialmente diseñadas, los expertos en seguridad informática no han reportado la detección de intentos de explotación activa o la existencia de variantes de malware asociadas al ataque.

Los parches de seguridad ya están disponibles, por lo que SAP recomienda a los administradores de instalaciones afectadas actualizar a la brevedad para prevenir cualquier intento de explotación. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).