Alertas

Productos SAP vulnerables al contrabando de peticiones HTTP (CVE-2022-22536)

SAP ha lanzado varias actualizaciones de seguridad en diferentes productos en su publicación mensual. [1]

10 Mar 2022

ANÁLISIS

Algunos productos SAP son vulnerables al contrabando de solicitudes HTTP, causado por un análisis incorrecto de la cabecera de solicitud de codificación de transferencia HTTP. Enviando una cabecera de solicitud de codificación de transferencia HTTP(S) especialmente diseñada, un atacante podría explotar esta vulnerabilidad para envenenar la caché de la web, eludir la protección del cortafuegos de aplicaciones web y realizar ataques XSS. CVE-2022-22536 tiene una puntuación CVSS:3.1 10.0. [2]

Productos afectados: [3]

Servidor de aplicaciones SAP NetWeaver ABAP
Servidor de aplicaciones SAP NetWeaver Java
Plataforma ABAP
Servidor de contenidos SAP 7.53
SAP Web Dispatcher

RECOMENDACIONES

Los clientes actuales de SAP deben consultar la nota SAP 3123396 [4] para obtener información sobre el parche, disponible en el sitio web de SAP (es necesario iniciar sesión).

REFERENCIAS

[1] Digital Library (sap.com)
[2] SAP NetWeaver, SAP Content Server and SAP Web Dispatcher HTTP request smuggling | CVE-2022-22536 - RedPacket Security
[3] NVD - CVE-2022-22536 (nist.gov)
[4] https://launchpad.support.sap.com/#/notes/3123396

Productos SAP vulnerables al contrabando de peticiones HTTP (CVE-2022-22536)

ANÁLISIS

RECOMENDACIONES

REFERENCIAS

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día