Los investigadores de seguridad cibernética han detallado dos fallas de seguridad actualmente parcheados en la interfaz de usuario gráfico de SAP (GUI) para Windows y Java.
Las vulnerabilidades rastreadas como CVE-2025-0055 y CVE-2025-0056 (puntaje CVSS: 6.0) fueron parcheados por SAP como parte de la actualización mensual de enero de enero de 2025.
«El estudio encontró que el historial de insumos de GUI de SAP era inestable en las versiones de Java y Windows», dijo el investigador de Pathlock Jonathan Stross en un informe compartido con Hacker News.
El historial de usuarios de SAP GUI permite a los usuarios acceder a valores ingresados previamente en campos de entrada con el objetivo de ahorrar tiempo y reducir los errores. Esta información histórica se almacena localmente en el dispositivo. Esto incluye su nombre de usuario, identificación nacional, número de seguro social (SSN), número de cuenta bancaria y nombre interno de la tabla SAP.
La vulnerabilidad identificada por Pathlock está enraizada en esta función de historial de entrada, lo que permite el acceso a datos en directorios predefinidos basados en variantes de GUI SAP para que pueda acceder a directorios de usuarios de atacantes o víctimas en el sistema operativo con privilegios administrativos.
SAP GUI para Windows -%AppData%\ Locallow \ Sapgui \ Cache \ History \ Saphistory.DB SAP GUI para Java -Appdata%\ Locallow \ Sapguii
El problema es que para Windows SAP GUI, la entrada se almacena en un archivo de base de datos utilizando un esquema de cifrado Bodido basado en XOR. Esto facilita la decodificación con un esfuerzo mínimo. En contraste, la GUI de Java SAP almacena estas entradas históricas como objetos serializados de Java de manera no cifrada.
Como resultado, en respuesta a la entrada del usuario previamente proporcionada, la información divulgada podría incluir cualquier cosa entre datos no críticos para datos altamente sensibles, lo que afectará la confidencialidad de su aplicación.
«Cualquiera que tenga acceso a una computadora puede tener acceso a archivos de historia y toda la información confidencial que almacenan», dijo Stross. «Debido a que los datos se almacenan localmente y se cifran (o no en absoluto), es una amenaza real despegarlo a través de ataques de inyección HID (como patitos de goma USB) o phishing».
Para mitigar los riesgos potenciales asociados con la divulgación, le recomendamos que deshabilite la función del historial de entrada y elimine las bases de datos existentes o los archivos de objetos serializados de los directorios anteriores.
Citrix Patch CVE-2025-5777
Esta divulgación ocurre porque Citrix reparó fallas de seguridad en la calificación crítica de Netscaler (CVE-2025-5777, puntaje CVSS: 9.3).
El inconveniente se debe a una validación de entrada insuficiente, lo que puede permitir que un atacante deshonesto obtenga un token de sesión válido de la memoria a través de una solicitud deshonesta, evitando efectivamente la protección de la autenticación. Sin embargo, esto solo funciona si NetScaler está configurado como una puerta de enlace o un servidor virtual AAA.
La vulnerabilidad ha sido llamada Citrix Bleed 2 por el investigador de seguridad Kevin Beaumont debido a su similitud con CVE-2023-4966 (puntaje CVSS: 9.4).
Se está manejando en las siguientes versiones –
Libera el lanzamiento de 13.1-FIPS y 13.1-NDCPP 13.1-37.235 y 13.1-FIPS para NetScaler ADC y NetScaler Gateway 14.1-43.56 y más tarde, 13.1-NDCPP 13.1-FIPS para Netscaler ADC y NetScaler Gateway 13.1-58.32 y luego recientes para 13.1 ndcppppppppppppppppppppppppppppppppppppppppstip. 13.1-37.235. Lanzamiento de 12.1-FIPS de 12.1-FIPS después de 12.1-55.328
El acceso privado seguro en pleno o las implementaciones híbridas de acceso privado seguro que utilizan instancias de NetScaler también son vulnerables. Citrix recomienda que el usuario ejecute el siguiente comando para finalizar todas las sesiones activas de ICA y PCOIP después de que se hayan actualizado todos los electrodomésticos de NetScaler –
icaconnection-kill todo pcoipconnection-kill todo
La compañía también insta a los clientes de las versiones de NetScaler ADC y Netscaler Gateway 12.1 y 13.0 a moverse a la versión compatible, ya que es el final actual (EOL) y ya no es compatible.
No hay evidencia de que los defectos hayan sido armados, pero el CEO de Watchtowr, Benjamin Harris, describió el interés del atacante como «revisar cada caja», diciendo que la explotación podría ser a la vuelta de la esquina.
«CVE-2025-5777 es la vulnerabilidad que causó estragos para los usuarios finales del dispositivo Citrix Netscaler en 2023, y la vulnerabilidad como el primer vector de violación para muchos incidentes significativos», Benjamin Harris, CEO de Hacktor, Spoke.
«Los detalles que rodean CVE-2025-5777 han cambiado en silencio desde su divulgación inicial, con algunos requisitos previos o restricciones bastante importantes eliminados de la descripción NVD CVE. Específicamente, el comentario de que esta vulnerabilidad se encuentra en la interfaz de gestión menor ahora se ha eliminado.
Source link
