Se
ha publicado una
vulnerabilidad que afecta a SAP NetWeaver 7.30 y que podría permitir a un atacante remoto realizar ataques de
inyección SQL.
NetWeaver es una plataforma
compuesta por todas las aplicaciones SAP con objeto de lograr una mejor
integración entre dichas aplicaciones, utilizar estándares para asegurar la
interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado
en el mundo empresarial.
El problema reside en que determinadas
entradas relacionadas con la función "ABAD0_DELETE_DERIVATION_TABLE"
no se filtran adecuadamente antes de ser empleadas en una consulta SQL. Esto
podría emplearse para manipular consultas SQL y provocar inyecciones de código SQL.
La vulnerabilidad se ha reportado
en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), aunque otras
versiones podrían verse afectadas.
SAP ha publicado la nota de seguridad 1840249 en relación a este problema:
Más información:
[DSECRG-13-016] SAP NetWeaver
ABAD0_DELETE_DERIVATION_TABLE – SQL Injection
Antonio Ropero
Twitter: @aropero
