A SAP lançou um hotfix para uma vulnerabilidade de controle de acesso de gravidade crítica na instalação do no aplicativo de planejamento de recursos empresariais Business One, voltado a pequenas e médias empresas. A fabricante de software de gestão empresarial soltou nesta três notas de segurança novas e três atualizadas como parte do Security Patch Day de novembro de 2023.
Classificada como “hot news”, a mais alta pontuação no bloco de anotações da SAP, a mais importante das notas de segurança aborda a vulnerabilidade no Business One. Rastreado como CVE-2023-31403 e escore de 9.6 no sistema de pontuação comum de vulnerabilidades (CVSS), o bug é descrito como um controle de acesso inadequado na instalação do aplicativo de planejamento de recursos empresariais.
“O processo permite que usuários anônimos tenham acesso de leitura e gravação à pasta compartilhada SMB. SMB — ou server message block — é um protocolo de compartilhamento de arquivos em rede. Os componentes afetados são a pasta compartilhada Crystal Report (CR), o aplicativo móvel tradicional (caminho do anexo), o RSP (lógica da pasta de log), o Job Service e o BAS (pasta de upload de arquivos)”, explica a empresa de segurança de aplicativos corporativos Onapsis.
A nota de segurança fornece um hotfix para o Business One versão 10.0 SP 2308 e os clientes em níveis mais baixos do pacote de suporte são aconselhados a atualizar para o SP 2308 e aplicar o hotfix fornecido.
As duas novas notas de segurança que a SAP lançou esta semana abordam problemas de divulgação de informações de gravidade média que afetam o NetWeaver Application Server ABAP e a plataforma ABAP e o NetWeaver AS Java Logon.
Veja isso
SAP libera atualizações de segurança para dois bugs críticos
CSA lança guia para controles de segurança em ERP SAP na nuvem
A mais importante das notas de segurança atualizadas da SAP aborda uma falha de verificação de autorização ausente de gravidade crítica no CommonCryptoLib, que afeta vários produtos do fabricante do software.
A SAP inicialmente corrigiu a vulnerabilidade em setembro de 2023, alertando que ela poderia levar ao comprometimento completo do aplicativo afetado, e agora atualizou o texto da nota de segurança com pequenas alterações, explica Onapsis.
As duas notas de segurança atualizadas restantes abordam vulnerabilidades de gravidade média no NetWeaver AS Java e em vários produtos Sybase.
Embora a SAP não mencione nenhuma dessas vulnerabilidades sendo exploradas em ataques, os clientes são aconselhados a aplicar os patches o mais rápido possível.
Para acessar o blog da Onapsis com os patches, inglês, para produtos da SAP clique aqui.