Eodos los meses SAP publica los detalles de los parches de seguridad para todos sus productos. SAP Business One, por supuesto, forma parte de ese proceso, pero no necesariamente recibe una actualización cada mes, ya que un producto sólo aparece en la lista cuando se descubre una vulnerabilidad.

En agosto de 2022, se identificó una nueva vulnerabilidad de SAP Business One, y este blog le ayudará a entender de qué se trata y qué debe hacer.

“El lanzamiento de archivos adjuntos desde dentro de una aplicación es una característica comúnmente explotada para que los hackers se aprovechen. Esta versión de parche aborda esa vulnerabilidad en SAP Business One”.

La nueva vulnerabilidad que SAP ha publicado para SAP Business One se llama vulnerabilidad de inyección de código.

Actualmente, los usuarios pueden cargar casi cualquier tipo de archivo como adjunto a artículos como los pedidos de ventas en SAP Business One. Esto incluye archivos ejecutables como exe, bat, rpt y otros. Se ha determinado que esto podría ser un riesgo para la seguridad, ya que esos archivos pueden ser maliciosos o estar infectados con un virus, sin que el usuario lo sepa. Adjuntar y abrir estos archivos posiblemente infectados puede comenzar a infectar a más usuarios en la misma red.

¿Cuál es la solución?

En primer lugar, los usuarios DEBEN estar ejecutando actualmente SAP Business One 10.0 FP2202 – este es el primer parche que ha incluido características para proteger a los usuarios de esta vulnerabilidad de inyección de código.

Puede encontrar estos parches en el SAP ONE Support Launchpad.

En este parche, SAP ha mejorado la herramienta de carga de archivos adjuntos con la capacidad de rechazar la carga de ciertos tipos de archivos, evitando que los archivos peligrosos se propaguen a otros usuarios o se ejecuten en el sistema.

¿Qué tipos de archivos están bloqueados?

Los tipos de archivos que se bloquean se basan en la lista de bloqueo de Microsoft Outlook. Puede ver la lista de bloques aquí.

¿Se puede editar la lista de archivos bloqueados?

¡Sí! Un SAP Business Manager o un Super Usuario tendrán la capacidad de editar esta lista de bloqueos.

Para hacer esto dentro de SAP Business One, navegue a la sección de Administración de su Menú. Seleccione Inicialización del sistema y luego Configuración general. Esto hará que aparezca la ventana emergente de Configuración General como se muestra a continuación.

Dentro de la ventana emergente de Configuración General, haga clic en la pestaña denominada Ruta. Aquí, verá una línea que dice Bloquear archivos adjuntos ejecutables. Para ver la lista actual de bloqueos, y añadir o eliminar tipos de archivos, haga clic en las elipses (…) junto a esta línea – esto hará que aparezca una nueva ventana emergente que muestra la selección de la lista de bloqueos.

Si eres un superusuario, puedes hacer cambios en esta lista aquí.

Únase a la Comunidad de SAP Business One para obtener más recursos gratuitos y fáciles de entender que le ayudarán a sacar el máximo provecho de su SAP Business One.