Alerta 2024-22 Vulnerabilidad crítica de autenticación en la plataforma SAP
Producto(s) afectado:
- BusinessObjects Business Intelligence versions 430 y 440
Descripción
SAP ha lanzado su paquete de parches de seguridad para agosto de 2024, abordando 17 vulnerabilidades, incluida una omisión de autenticación crítica que podría permitir a atacantes remotos comprometer por completo el sistema.
Entre las vulnerabilidades más relevantes se destaca la identificada como CVE-2024-41730, calificada con una puntuación de 9.8 en el sistema CVSS v3.1. Este fallo de “verificación de autenticación faltante” afecta a las versiones 430 y 440 de SAP BusinessObjects Business Intelligence Platform y es explotable bajo ciertas condiciones.
En SAP BusinessObjects Business Intelligence Platform, si el inicio de sesión único (SSO) está habilitado en la autenticación empresarial, un usuario no autorizado podría obtener un token de inicio de sesión a través de un punto de conexión REST. Esto permitiría al atacante comprometer completamente el sistema, afectando gravemente la confidencialidad, integridad y disponibilidad de los datos y servicios de inteligencia empresarial.
Actualmente, esta vulnerabilidad está en proceso de análisis y aún no se dispone de toda la información.
Solución
Hay parches disponibles para las siguientes versiones:
- SERVIDORES DE LA PLATAFORMA SBOP BI 4.3 – Nivel de parche SP005
- SERVIDORES DE LA PLATAFORMA SBOP BI 2025 – Nivel de parche SP00
- SERVIDORES DE LA PLATAFORMA SBOP BI 4.3 – Nivel de parche SP004