Noticias

Actualización de seguridad de SAP - Mayo 2025

Fecha de publicación: 

Resumen ejecutivo

SAP ha publicado su actualización mensual de seguridad correspondiente a mayo de 2025, en la que se han corregido un total de 18 vulnerabilidades, distribuidas en 16 nuevas notas de seguridad y 2 actualizaciones de notas previamente publicadas. Entre estas, se destacan varias de alta prioridad, por el riesgo que representan para la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Dentro de las vulnerabilidades corregidas, se incluyen fallos críticos en componentes como SAP NetWeaver Visual Composer, SAP S/4HANA, SAP Service Parts Management (SPM), entre otros. Los riesgos incluyen la posibilidad de que agentes no autenticados suban archivos potencialmente malignos, accesos a información restrigida, y la ejecución de scripts maliciosos, lo que podría tener un gran impacto en la confidencialidad, integridad y disponibilidad de los sistemas afectados. Estas vulnerabilidades requieren acciones y medidas de mitigación inmediatas y a corto plazo, siendo la más crítica una funcionalidad de SAP NetWeaver Visual Composer clasificada con la puntuación de amenaza más alta en la escala CVSS de 10.0, que permite la subida y ejecución de archivos binarios por parte de usuarios no autenticados. Es fundamental actualizar los sistemas, aplicar los parches de seguridad y establecer controles de acceso adecuados.

Recursos afectados

  • SAP NetWeaver (servidor de desarrollo de Visual Composer) (Versión – VCFRAMEWORK 7.50)
  • SAP Gestión de Relaciones con Proveedores (Live Auction Cockpit) (Versión – SRM_SERVER 7.14)
  • SAP S/4HANA Cloud Edición Privada u On-Premise (capa de datos maestros de SCM (MDL)) (Versiones – S4CORE 102, 103, 104, 105, 106, 107, 108; SCM_BASIS 700, 701, 702, 712, 713, 714)
  • SAP Business Objects Plataforma de Inteligencia de Negocios (PMW) (Versiones – ENTERPRISE 430, 2025, 2027)
  • SAP Landscape Transformation (base PCL) (Versiones – DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020; S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP PDCE (Versiones – S4CORE 102, 103; S4COREOP 104, 105, 106, 107, 108)
  • Cliente SAP Gateway (Versiones – SAP_GWFND 752, 753, 754, 755, 756, 757, 758)
  • SAP S/4HANA (Private Cloud y On-Premise) (Versiones – S4CRM 204, 205, 206; S4CEXT 107, 108; BBPCRM 702, 712, 713, 714)
  • Gestión de Piezas de Repuesto de SAP (SPM) (Versiones – SAP_APPL 600, 602, 603, 604, 605, 606, 616, 617, 618; SAPSCORE 111; S4CORE 100, 101, 102)
  • Gestión de Piezas de Repuesto de SAP (SPM) (Versiones – SAP_APPL 617, 618; SAPSCORE 116; S4CORE 100, 101, 102, 103)
  • Servidor de Aplicaciones ABAP de SAP NetWeaver y Plataforma ABAP (Versiones – SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758)
  • SAP Gestión de Relaciones con Proveedores (Catálogo de Gestión de Datos Maestros) (Versión – SRM_MDM_CAT 7.52)
  • SAP S/4HANA HCM Portugal y SAP ERP HCM Portugal (Versiones – S4HCMCPT 100, 101; SAP_HRCPT 600, 604, 608)
  • SAP Digital Manufacturing (panel de operador de producción) (Versión – CTNR-DME-PODFOUNDATION-MS 1.0)

Análisis técnico

Las vulnerabilidades más relevantes en esta actualización son:

  • CVE-2025-31324: SAP NetWeaver Visual Composer Metadata Uploader no cuenta con la protección apropiada, permitiendo que agentes no autenticados suban archivos binarios ejecutables potencialmente maliciosos que podrían causar un daño grave al sistema anfitrión. Esto podría afectar de manera significativa la confidencialidad, la integridad y la disponibilidad del sistema objetivo.
    • CWE-434
    • CVSS: 10.0 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42999: SAP NetWeaver Visual Composer Metadata Uploader es vulnerable cuando un usuario con privilegios puede cargar contenido no confiable o malicioso que, cuando se deserializa, podría llevar potencialmente a un compromiso de la confidencialidad, integridad y disponibilidad del sistema anfitrión.
    • CWE-502
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30018: El Live Auction Cockpit en SAP Supplier Relationship Management (SRM) permite a un atacante no autenticado enviar una solicitud de servlet de aplicación con un archivo XML fabricado que, al ser analizado, permite al atacante acceder a archivos y datos sensibles. Esta vulnerabilidad tiene un alto impacto en la confidencialidad de la aplicación, sin afectar la integridad y disponibilidad de la aplicación.
    • CWE-611
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-43010: SAP S/4HANA Cloud Private Edition o en local (SCM Master Data Layer (MDL)) permite a un atacante autenticado con autorización estándar de SAP ejecutar un cierto módulo de funciones de forma remota y reemplazar programas ABAP arbitrarios, incluyendo programas estándar de SAP. Esto se debe a la falta de validación de entrada y a la ausencia de controles de autorización. Esto tiene un bajo impacto en la confidencialidad pero un alto impacto en la integridad y disponibilidad de la aplicación.
    • CWE-94
    • CVSS: 8.3 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43000: Bajo ciertas condiciones, el Asistente de Gestión de Promociones (PMW) permite a un atacante acceder a información que de otro modo estaría restringida. Esto tiene un alto impacto en la Confidencialidad con un impacto bajo en la Integridad y Disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 7.9 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
    • Explotación: No detectada
  • CVE-2025-43011: Bajo ciertas condiciones, el módulo PCL Basis de SAP Landscape Transformation no realiza las comprobaciones de autorización necesarias, permitiendo a los usuarios autenticados acceder a funcionalidades o datos restringidos. Esto puede llevar a un alto impacto en la confidencialidad sin afectar la integridad o disponibilidad de la aplicación.
    • CWE-862
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2024-39592: Los componentes de PDCE no realizan las verificaciones de autorización necesarias para un usuario autenticado, lo que resulta en una escalada de privilegios. Esto permite a un atacante leer información confidencial, causando un alto impacto en la confidencialidad de la aplicación.
    • CWE-862
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada

Mitigación / Solución

SAP recomienda que los clientes visiten el Portal de Soporte y apliquen parches con prioridad para proteger su paisaje de SAP. Estos parches están destinados a remediar las vulnerabilidades descubiertas en los productos de SAP, y se lanzaron 16 nuevas Notas de Seguridad el 13 de mayo de 2025, con 2 actualizaciones adicionales a las Notas de Seguridad previamente lanzadas. Además de la aplicación de parches, SAP enfatiza la importancia de una configuración segura para garantizar la operación segura y la integridad de los datos. Han documentado recomendaciones de seguridad que están consolidadas en un documento para ayudar a los clientes a configurar la mejor seguridad para su cartera de SAP.

Referencias adicionales