Noticias

Actualización de seguridad de Sap- Diciembre 2025

Fecha de publicación: 

Resumen ejecutivo

El 9 de diciembre de 2025, SAP publicó 14 nuevas notas de seguridad para abordar vulnerabilidades críticas en varios de sus productos, incluyendo fallos con puntuación CVSS de hasta 9.9 en SAP Solution Manager que permiten la toma de control total del sistema mediante ejecución de código malicioso. También se identificaron riesgos de alta gravedad en SAP NetWeaver, SAP Web Dispatcher y Apache Tomcat, que podrían permitir ejecución remota de código, manipulación de entradas y comprometer la confidencialidad y disponibilidad de los sistemas. Dado que estas fallas pueden facilitar accesos no autorizados e interrupciones severas del servicio, es esencial aplicar parches y actualizaciones de seguridad de forma inmediata.

Recursos afectados

  • SAP Solution Manager (ST 720)
  • SAP Commerce Cloud (HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21)
  • SAP jConnect - SDK for ASE (SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4, 16.1)
  • SAP Web Dispatcher and Internet Communication Manager (ICM) (KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16)
  • SAP NetWeaver (remote service for Xcelsius) (BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50)
  • SAP Business Objects (ENTERPRISE 430, 2025, 2027)
  • SAP Content Server (KRNL64UC 7.53, WEBDISP 7.53, 7.54, CONTSERV 7.53, 7.54, KERNEL 7.53, 7.54)
  • SAP S/4 HANA Private Cloud (Financials General Ledger) (S4CORE 104, 105, 106, 107, 108, 109)
  • SAP NetWeaver Internet Communication Framework (SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758)
  • Application Server ABAP (KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.17)
  • SAP NetWeaver Enterprise Portal (EP-RUNTIME 7.50)
  • SAPUI5 framework (Markdown-it component) (SAP_UI 755, 756, 757, 758)
  • SAP Enterprise Search for ABAP (SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP BusinessObjects Business Intelligence Platform (ENTERPRISE 430, 2025, 2027)

Análisis técnico

  • CVE-2025-42880: La vulnerabilidad en SAP Solution Manager se debe a la falta de sanitización de entradas, lo que permite a un atacante autenticado insertar código malicioso al llamar a un módulo de función remoto. Esto podría otorgar al atacante control total del sistema, afectando gravemente la confidencialidad, integridad y disponibilidad de la información. Se requiere que el atacante esté autenticado para explotar esta vulnerabilidad.
    • CWE-94
    • CVSS: 9.9 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-55754: La vulnerabilidad de Improper Neutralization of Escape, Meta, or Control Sequences en Apache Tomcat permite a un atacante inyectar secuencias de escape ANSI en los mensajes de registro. Esto puede manipular la consola y el portapapeles en sistemas Windows, potencialmente engañando a un administrador para que ejecute un comando controlado por el atacante. No se encontraron vectores de ataque, pero podría ser posible en otros sistemas operativos. Se recomienda actualizar a versiones 11.0.11 o posteriores, 10.1.45 o posteriores, o 9.0.109 o posteriores.
    • CWE-150
    • CVSS: 9.6 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42928: Se ha identificado una vulnerabilidad de deserialización en SAP jConnect que podría ser explotada por un usuario con altos privilegios para ejecutar código de forma remota. Esto podría comprometer gravemente la confidencialidad, integridad y disponibilidad del sistema. La explotación requiere el uso de entradas especialmente diseñadas para aprovechar la vulnerabilidad.
    • CWE-502
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42878: SAP Web Dispatcher e ICM pueden exponer interfaces de prueba internas que no están destinadas para producción. Si están habilitadas, atacantes no autenticados podrían aprovechar estas vulnerabilidades para acceder a diagnósticos, enviar solicitudes manipuladas o interrumpir servicios. Esto podría comprometer gravemente la confidencialidad y disponibilidad del sistema, aunque el impacto en la integridad de la aplicación es bajo.
    • CWE-1244
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:H
    • Explotación: No detectada
  • CVE-2025-42874: La vulnerabilidad en el servicio remoto de SAP NetWeaver para Xcelsius permite a un atacante con acceso a la red y altos privilegios ejecutar código arbitrario en el sistema afectado debido a una validación de entrada insuficiente. Esto puede causar interrupciones en el servicio o control no autorizado del sistema, afectando gravemente la integridad y disponibilidad, pero sin impacto en la confidencialidad. No se requiere interacción del usuario para explotar esta vulnerabilidad.
    • CWE-405
    • CVSS: 7.9 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-55752: La vulnerabilidad de recorrido de ruta relativa en Apache Tomcat permite que un atacante manipule la URI de solicitud para eludir restricciones de seguridad, potencialmente accediendo a directorios protegidos como /WEB-INF/ y /META-INF/. Si las solicitudes PUT están habilitadas, esto podría llevar a la ejecución remota de código. Normalmente, las solicitudes PUT son limitadas a usuarios de confianza, lo que hace menos probable su activación simultánea con una manipulación de URI. Se recomienda actualizar a versiones más seguras: 11.0.11, 10.1.45 o 9.0.109.
    • CWE-23
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42877: SAP Web Dispatcher, Internet Communication Manager (ICM) y SAP Content Server presentan una vulnerabilidad de corrupción de memoria debido a errores lógicos que pueden ser explotados por un usuario no autenticado. Esto puede causar un impacto alto en la disponibilidad del sistema, pero no afecta la confidencialidad ni la integridad de la aplicación. Para explotar esta vulnerabilidad, no se requieren credenciales o autenticación previa.
    • CWE-787
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-48976: Se ha identificado una vulnerabilidad de denegación de servicio (DoS) en Apache Commons FileUpload debido a la asignación inadecuada de recursos para encabezados multiparte. Esta vulnerabilidad podría permitir que un atacante interrumpa el servicio de la aplicación afectada. Para explotarla, el atacante debe enviar solicitudes específicas que aprovechen esta falla. Se recomienda actualizar a las versiones 1.6 o 2.0.0-M4 para mitigar el riesgo.
    • CWE-770
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-42876: Una vulnerabilidad de falta de verificación de autorización en SAP S/4 HANA Private Cloud permite a un atacante autenticado, con autorización restringida a un único código de empresa, acceder a datos sensibles y modificar documentos en todos los códigos de empresa. La explotación exitosa podría comprometer seriamente la confidencialidad, afectando levemente la integridad, mientras que la disponibilidad no se ve afectada. Se requiere que el atacante esté autenticado y tenga permisos limitados.
    • CWE-405
    • CVSS: 7.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
    • Explotación: No detectada

Mitigación / Solución

SAP recomienda a los clientes visitar el Portal de Soporte y aplicar los parches de seguridad de manera prioritaria para proteger su paisaje SAP.

Referencias adicionales