3 vulnerabilidades críticas en SAP Business One

Especialistas en ciberseguridad reportan el hallazgo de al menos tres vulnerabilidades severas en SAP Business One, un sistema informático para la gestión de recursos y planificación de actividades en pequeñas y medianas empresas. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas evadir los controles de seguridad en la aplicación afectada.

CVE-2021-33704:La ausencia de comprobaciones de autorización en el componente Service Layer en SAP Business One permitiría a un usuario remoto acceder sin autorización a funciones restringidas.

Esta es una falla de severidad media y recibió un puntaje CVSS de 5.5/10.

CVE-2021-33700: La falta de autenticación en una función crítica permitiría a los usuarios maliciosos remotos evadir el proceso de autenticación en la aplicación afectada.

Esta falla recibió un puntaje CVSS de 6.5/10 y su explotación exitosa permitiría a los actores de amenazas remotos comprometer la integridad del sistema vulnerable.

CVE-2021-33698: Una validación insuficiente en el proceso de carga de archivos en SAP Business One permitiría a un usuario remoto autenticado cargar archivos especialmente diseñados y ejecutarlos en el servidor afectado.

Esta es una vulnerabilidad de severidad alta y recibió un puntaje CVSS de 7.1/10.

El reporte señala que las vulnerabilidades podrían ser explotadas por actores de amenazas remotos autenticados, aunque es necesario mencionar que hasta el momento de redacción de este artículo no se habían reportado intentos de explotación activa o la existencia de una variante de malware asociada al ataque.

Fuente – noticiasseguridad