Noticias

Actualización de seguridad de Sap- Junio 2025

Fecha de publicación: 

Resumen ejecutivo

SAP ha publicado su actualización mensual de seguridad para el mes de junio de 2025, con un total de 14 nuevas notas de seguridad, entre ellas 1 de prioridad crítica (CVSS 9.6) y 5 de prioridad alta (CVSS entre 7.5 y 8.8). Las vulnerabilidades afectan a productos como SAP NetWeaver, SAP GRC, SAP BusinessObjects BI, SAP S/4HANA, SAP MDM Server y SAPUI5, y representan riesgos que van desde la escalada de privilegios y divulgación de información sensible, hasta ejecución de scripts maliciosos y manipulación de configuraciones de seguridad. También se incluyen fallos de severidad media y baja, como inyecciones HTML, falta de comprobaciones de autorización y exposición de parámetros sensibles. Se recomienda aplicar con urgencia los parches publicados, priorizando especialmente las notas críticas y de alta prioridad, para preservar la confidencialidad, integridad y disponibilidad de los sistemas SAP.

Recursos afectados

  • Servidor de Aplicaciones SAP NetWeaver para ABAP (KERNEL 7.89, 7.93, 9.14, 9.15)
  • SAP GRC (complemento AC) (GRCPINW V1100_700, V1100_731)
  • SAP Business Warehouse y SAP Plug-In Basis (PI_BASIS 2006_1_700, 701, 702, 731, 740; SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915)
  • SAP BusinessObjects Business Intelligence (espacio de trabajo BI) (ENTERPRISE 430, 2025, 2027)
  • SAP NetWeaver Visual Composer (VCBASE 7.50)
  • Servidor SAP MDM (MDM_SERVER 710.750)
  • SAP S/4HANA (habilitación de eventos empresariales) (SAP_GWFND 757, 758)
  • SAP NetWeaver (documentación de palabras clave ABAP) (SAP_BASIS 758)
  • SAP S/4HANA (aplicación de Gestión de Contrato de Compra Central) (S4CORE 106, 107, 108)
  • SAP Business One Integration Framework (B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP S/4HANA (aplicación de Gestión de Reglas de Procesamiento para extractos bancarios) (S4CORE 104, 105, 106, 107, 108)
  • SAP S/4HANA (aplicación de Cuenta Bancaria) (S4CORE 108)
  • Plataforma SAP BusinessObjects Business Intelligence (ENTERPRISE 430, 2025, 2027)
  • Aplicaciones SAPUI5 (SAP_UI 750, 754, 755, 756, 757, 758, UI_700 200)

Análisis técnico

  • CVE-2025-42989: El procesamiento de entrada de RFC no realiza las verificaciones de autorización necesarias para un usuario autenticado, lo que resulta en una escalada de privilegios. Si el ataque tiene éxito, el agresor podría afectar críticamente tanto la integridad como la disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 9.6 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42982: SAP GRC permite a un usuario no administrativo acceder e iniciar una transacción que podría permitirles modificar o controlar las credenciales del sistema transmitido. Esto causa un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42983: SAP Business Warehouse y SAP Plug-In Basis permiten a un atacante autenticado eliminar tablas de base de datos de SAP arbitrarias, lo que potencialmente resulta en una pérdida de datos o hace que el sistema sea inutilizable. En una explotación exitosa, un atacante puede eliminar completamente las entradas de la base de datos pero no puede leer ningún dato.
    • CWE-862
    • CVSS: 8.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H
    • Explotación: No detectada
  • CVE-2025-23192: SAP BusinessObjects Business Intelligence (BI Workspace) permite a un atacante no autenticado crear y almacenar un script malicioso dentro de un espacio de trabajo. Cuando la víctima accede al espacio de trabajo, el script se ejecutará en su navegador, permitiendo al atacante potencialmente acceder a información de sesión sensible, modificar o hacer que la información del navegador no esté disponible. Esto conduce a un alto impacto en la confidencialidad y un bajo impacto en la integridad y disponibilidad.
    • CWE-79
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:L
    • Explotación: No detectada
  • CVE-2025-42977: SAP NetWeaver Visual Composer contiene una vulnerabilidad de Traversal de Directorio causada por una validación insuficiente de rutas de entrada proporcionadas por un usuario con altos privilegios. Esto permite a un atacante leer o modificar archivos arbitrarios, resultando en un alto impacto en la confidencialidad y un bajo impacto en la integridad.
    • CWE-22
    • CVSS: 7.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N
    • Explotación: No detectada
  • CVE-2025-42994: La función ReadString del servidor SAP MDM permite a un atacante enviar paquetes especialmente diseñados que podrían activar una violación de acceso de lectura de memoria en el proceso del servidor que luego fallaría y saldría de manera inesperada, causando un alto impacto en la disponibilidad sin impacto en la confidencialidad e integridad de la aplicación.
    • CWE-590
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-42995: La función Read del servidor SAP MDM permite a un atacante enviar paquetes especialmente diseñados que podrían provocar una violación de acceso de lectura de memoria en el proceso del servidor que luego fallaría y se cerraría inesperadamente, causando un alto impacto en la disponibilidad sin impacto en la confidencialidad e integridad de la aplicación.
    • CWE-590
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-42993: Debido a una vulnerabilidad por falta de comprobación de autorización en SAP S/4HANA (Enterprise Event Enablement), un atacante con acceso a la Configuración de Enlace de Entrada podría crear un destino RFC y asignar un usuario con privilegios arbitrariamente altos. Esto permite al atacante consumir eventos a través del destino RFC, lo que lleva a la ejecución de código bajo los privilegios del usuario con altos privilegios asignados. Si bien la vulnerabilidad tiene un bajo impacto en la Disponibilidad, representa significativamente un alto riesgo tanto para la Confidencialidad como para la Integridad.
    • CWE-862
    • CVSS: 6.7 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L
    • Explotación: No detectada
  • CVE-2025-31325: Debido a una vulnerabilidad de Cross-Site Scripting en SAP NetWeaver (Documentación de palabras clave ABAP), un atacante no autenticado podría inyectar JavaScript malintencionado en una página web a través de un parámetro desprotegido. Cuando una víctima accede a la página afectada, el script se ejecuta en su navegador, proporcionando al atacante acceso limitado a información restringida. La vulnerabilidad no afecta la integridad de los datos ni la disponibilidad y opera completamente dentro del contexto del navegador del cliente.
    • CWE-79
    • CVSS: 5.8 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-42996: El servidor SAP MDM permite a un atacante tomar el control de las sesiones de cliente existentes y ejecutar ciertas funciones sin tener que volver a autenticarse, dándole la capacidad de acceder o modificar información no sensible o consumir suficientes recursos lo cual podría degradar el rendimiento del servidor causando un bajo impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
    • CWE-590
    • CVSS: 5.6 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
    • Explotación: No detectada
  • CVE-2025-42984: SAP S/4HANA Manage Central Purchase Contract no realiza las verificaciones de autorización necesarias para un usuario autenticado. Debido a esto, un atacante podría ejecutar la función importar en la entidad, haciéndola inaccesible para el usuario sin restricciones. Esto tiene un impacto bajo en la confidencialidad y disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 5.4 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
    • Explotación: No detectada
  • CVE-2025-42998: Las configuraciones de seguridad en el SAP Business One Integration Framework no se verifican adecuadamente, permitiendo a los atacantes eludir el error 403 Prohibido y acceder a páginas restringidas. Esto conduce a un bajo impacto en la confidencialidad de la aplicación, no hay impacto en la integridad y disponibilidad.
    • CWE-346
    • CVSS: 5.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-42987: El SAP Manage Processing Rules (Para Declaraciones Bancarias) permite a un atacante con privilegios básicos editar reglas compartidas de cualquier usuario manipulando el parámetro de solicitud. Debido a que falta una verificación de autorización, el atacante puede editar reglas que deberían estar restringidas, comprometiendo la integridad de la aplicación.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Explotación: No detectada
  • CVE-2025-42991: SAP S/4HANA (Aplicación de Cuenta Bancaria) no realiza las verificaciones de autorización necesarias. Esto permite a un usuario 'aprobador' autenticado eliminar un adjunto de la aplicación de cuenta bancaria de otro usuario, lo que lleva a un bajo impacto en la integridad, sin impacto en la confidencialidad de los datos o la disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Explotación: No detectada
  • CVE-2025-42988: Bajo ciertas condiciones, SAP Business Objects Business Intelligence Platform permite a un atacante no autenticado enumerar puntos finales HTTP en la red interna mediante la creación especial de solicitudes HTTP. Esta divulgación de información podría permitir a su vez al investigador causar SSRF. No tiene impacto en la integridad y disponibilidad de la aplicación.
    • CWE-918
    • CVSS: 3.7 (baja)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-42990: Las aplicaciones de SAPUI5 desprotegidas permiten a un atacante con privilegios básicos inyectar código HTML malicioso en una página web, con el objetivo de redirigir a los usuarios a la URL controlada por el atacante. Este problema podría afectar la integridad de la aplicación. La confidencialidad o disponibilidad no se ven afectadas.
    • CWE-79
    • CVSS: 3.0 (baja)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N
    • Explotación: No detectada

Mitigación / Solución

Se recomienda aplicar los parches de seguridad proporcionados por SAP para corregir estas vulnerabilidades.

Referencias adicionales