miércoles, 4 de septiembre de 2013

Inyección SQL en SAP NetWeaver 7

Se ha publicado una vulnerabilidad que afecta a SAP NetWeaver 7.30 y que podría permitir a un atacante remoto realizar ataques de inyección SQL.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

El problema reside en que determinadas entradas relacionadas con la función  "ABAD0_DELETE_DERIVATION_TABLE" no se filtran adecuadamente antes de ser empleadas en una consulta SQL. Esto podría emplearse para manipular consultas SQL y provocar inyecciones de código SQL.

La vulnerabilidad se ha reportado en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), aunque otras versiones podrían verse afectadas.

SAP ha publicado la nota de seguridad 1840249 en relación a este problema:
https://service.sap.com/sap/support/notes/1840249

Más información:

[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE – SQL Injection
http://erpscan.com/advisories/dsecrg-13-016-sap-netweaver-abad0_delete_derivation_table



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017