SAP ha lanzado una actualización de seguridad que aborda dos fallas de seguridad críticas que pueden explotarse para ejecutar código arbitrario en los sistemas afectados.
Las vulnerabilidades en cuestión se enumeran a continuación:
CVE-2019-17571 (puntuación CVSS: 9,8): vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO) CVE-2026-27685 (puntuación CVSS: 9,1): vulnerabilidad de deserialización insegura en SAP NetWeaver Enterprise Portal Administration
«Esta aplicación utiliza artefactos obsoletos en Apache Log4j 1.2.17 que son vulnerables a CVE-2019-17571», dijo la empresa de seguridad de SAP Onapsis. «Permite que un atacante sin privilegios ejecute de forma remota código arbitrario en el servidor, lo que afecta significativamente la confidencialidad, integridad y disponibilidad de la aplicación».
CVE-2026-27685, por otro lado, podría permitir a un atacante cargar contenido malicioso o que no sea de confianza debido a una validación faltante o insuficiente durante la deserialización del contenido cargado.
«Sólo el hecho de que un atacante requiera privilegios elevados para explotar con éxito podría evitar que esta vulnerabilidad sea etiquetada con una puntuación CVSS de 10», añadió Onapsis.
La divulgación se produce después de que Microsoft enviara parches para 84 vulnerabilidades en sus productos, incluidas docenas de fallas de escalada de privilegios y ejecución remota de código.
Adobe también anunció parches para 80 vulnerabilidades el martes. Cuatro de estos son fallos críticos que afectan a Adobe Commerce y Magento Open Source y que podrían conducir a una escalada de privilegios y a la elusión de funciones de seguridad. Por otra parte, también se solucionaron cinco vulnerabilidades críticas en Adobe Illustrator que podrían allanar el camino a la ejecución de código arbitrario.
Por otra parte, Hewlett Packard Enterprise publicó correcciones para cinco fallas en Aruba Networking AOS-CX. La falla más grave es CVE-2026-23813 (puntuación CVSS: 9,8), que es una omisión de autenticación que afecta a la interfaz de administración.
«Se ha identificado una vulnerabilidad en la interfaz de administración basada en web de los conmutadores AOS-CX que podría permitir que un atacante remoto no autenticado evite los controles de autenticación existentes», dijo HPE. «En algunos casos, esto puede permitirle restablecer su contraseña de administrador».
«La explotación de esta vulnerabilidad de Aruba podría permitir a un atacante obtener el control total de un dispositivo de red AOS-CX y comprometer todo el sistema sin ser detectado», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.
«Un compromiso exitoso podría conducir a la interrupción de las comunicaciones de la red y comprometer la integridad de los servicios comerciales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red se están volviendo más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, exponen a las organizaciones a un riesgo significativo».
Parches de software de otros proveedores
Otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas que solucionan varias vulnerabilidades, entre ellas:
ABB Amazon Web Services AMD Arm Atlassian Bosch Broadcom (incluye VMware) Canon Cisco Commvault Dassault Systèmes Dell Devolutions Drupal Elastic F5 Fortinet Fortra Foxit Software GitLab Google Android y Pixel Google Chrome Google Cloud Google Pixel Watch Google Wear OS Grafana Hitachi Energy Honeywell HP HP Enterprise (incluye Aruba Networking y Juniper Networks) IBM Intel Ivanti Jenkins Lenovo Linux DistributionsAlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu MediaTek Mitsubishi Electric Moxa Mozilla Firefox, Firefox ESR y Thunderbird n8n NVIDIA Palo Alto Networks QNAP Qualcomm Ricoh Samsung Schneider Electric ServiceNow Siemens SolarWinds Splunk Synology TP-Link Trend Micro WatchGuard Western Digital Zoom y Zyxel
Source link
