Se ha publicado una vulnerabilidad en SAP NetWeaver que podría permitir a un atacante remoto leer cualquier archivo del sistema afectado.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP, que tiene el objetivo de lograr una mejor integración entre ellas, utilizar estándares para asegurar la interoperabilidad, aportar flexibilidad, y reducir costes. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

La vulnerabilidad está provocada por un error en el parser PMI XML cuando valida peticiones XML. Un atacante podría aprovechar este problema para leer cualquier archivo local.

SAP ha publicado un aviso (SAP Note 1721309) en el que informa sobre esta vulnerabilidad.

Más información:

SAP Note 1721309 https://service.sap.com/sap/support/notes/1721309

ERPScan (DSECRG-12-037): http://erpscan.com/advisories/dsecrg-12-037-sap-netweaver-pmi-agent-configuration-xml-external-entity/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/acceso-remoto-a-ficheros-arbitrarios-en-sap-netweaver