Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Inyección SQL en SAP NetWeaver 7

Inyección SQL en SAP NetWeaver 7

Por Deja un comentario

Se ha publicado una vulnerabilidad que afecta a SAP NetWeaver 7.30 y que podría permitir a un atacante remoto realizar ataques de inyección SQL.
NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.
El problema reside en que determinadas entradas relacionadas con la función  “ABAD0_DELETE_DERIVATION_TABLE” no se filtran adecuadamente antes de ser empleadas en una consulta SQL. Esto podría emplearse para manipular consultas SQL y provocar inyecciones de código SQL.
La vulnerabilidad se ha reportado en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), aunque otras versiones podrían verse afectadas.
SAP ha publicado la nota de seguridad 1840249 en relación a este problema:
https://service.sap.com/sap/support/notes/1840249
Más información:
[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE – SQL Injection
http://erpscan.com/advisories/dsecrg-13-016-sap-netweaver-abad0_delete_derivation_table
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.