Anunciada una vulnerabilidad en SAP NetWeaver 7.30 y que podría permitir a un atacante remoto realizar ataques de inyección SQL.
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos.
Impacto de la vulnerabilidad en el Sistema
- La función "ABAD0_DELETE_DERIVATION_TABLE" al no filtra debidamente algunas entradas previamente a ser empleadas en consultas SQL es la culpable de la vulnerabilidad que podría emplearse para manipular consultas SQL y provocar inyecciones de código SQL.
Recursos afectados:
- La vulnerabilidad se ha reportado en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), aunque otras versiones podrían verse afectadas.
Recomendación
- SAP ha publicado la nota de seguridad 1840249 en relación a este problema: https://service.sap.com/sap/support/notes/1840249
Más información:
[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE – SQL Injection http://erpscan.com/advisories/dsecrg-13-016-sap-netweaver-abad0_delete_derivation_table
Fuente: Hispasec