Producto(s) afectado(s):

• BusinessObjects Business Intelligence versiones 430 y 440

Descripción:

SAP ha publicado su paquete de parches de seguridad de agosto de 2024, que aborda 17 vulnerabilidades, incluida una omisión de autenticación crítica que podría permitir a atacantes remotos comprometer completamente el sistema.

Entre las vulnerabilidades más significativas se encuentra la CVE-2024-41730, que ha sido calificada con una puntuación de 9,8 en la escala CVSS v3.1. Este fallo de «falta de comprobación de autenticación» afecta a las versiones 430 y 440 de SAP BusinessObjects Business Intelligence Platform y es explotable en determinadas condiciones.

En la plataforma SAP BusinessObjects Business Intelligence, si el inicio de sesión único (SSO ) está activado en la autenticación empresarial, un usuario no autorizado podría obtener un token de inicio de sesión a través de un punto final REST. Esto permitiría al atacante comprometer completamente el sistema, afectando gravemente a la confidencialidad, integridad y disponibilidad de los datos y servicios de Business Intelligence.

Actualmente, esta vulnerabilidad está siendo analizada, y no se dispone de toda la información.

Solución:

Hay parches disponibles para las siguientes versiones:

• Servidores SBOP BI 4.3 – Nivel de parche SP005
• SBOP BI 2025 Servidores – Parche Nivel SP00
• Servidores SBOP BI 4.3 – Nivel de parche SP004