Noticias

Actualización de seguridad de Sap- Septiembre 2025

Fecha de publicación: 

Resumen ejecutivo

El 9 de septiembre de 2025, SAP publicó 21 nuevas notas de seguridad y realizó cuatro actualizaciones a notas previamente emitidas en su Boletín de Seguridad. Se identificaron un total de 27 vulnerabilidades, de las cuales, nueve fueron calificadas como críticas o altas. Destacan la vulnerabilidad de "Deserialización Insegura" en SAP Netweaver (RMI-P4) con un CVSS de 10.0 y la vulnerabilidad de "Operaciones de Archivo Inseguras" en SAP NetWeaver AS Java (Servicio Web de Despliegue) con un CVSS de 9.9. SAP recomienda visitar el Portal de Soporte y aplicar con prioridad los parches disponibles para proteger su entorno SAP.

Recursos afectados

  • SAP Netweaver (RMI-P4) (Versión - SERVERCORE 7.50)
  • SAP NetWeaver AS Java (Deploy Web Service) (Versión - J2EE-APPS 7.50)
  • SAP NetWeaver AS for ABAP and ABAP Platform (Versión – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757)
  • SAP NetWeaver (Versión - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54)
  • SAP Business One (SLD) (Versión - B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP Landscape Transformation Replication Server (Versión - DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020)
  • SAP S/4HANA (Nube Privada o Local) (Versión - S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP NetWeaver and ABAP Platform (Service Data Collection) (Versión - ST-PI 2008_1_700, 2008_1_710, 740)
  • SAP Commerce Cloud and SAP Datahub (Versión - HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, DHUB_CLOUD 2211)
  • SAP Business Planning and Consolidation (Versión - BPC4HANA 200, 300, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, CPMBPC 810)
  • SAP HCM (My Timesheet Fiori 2.0 application) (Versión - GBX01HR5 605)
  • SAP HCM (Approve Timesheets Fiori 2.0 application) (Versión - GBX01HR5 605)
  • SAP BusinessObjects Business Intelligence Platform (Versión - ENTERPRISE 430, 2025, 2027)
  • SAP Supplier Relationship Management (Versión – SRM_SERVER 700, 701, 702, 713, 714)
  • SAP NetWeaver ABAP Platform (Versión - S4CRM 100, 200, 204, 205, 206, S4CEXT 109, BBPCRM 713, 714)
  • Fiori app (Manage Payment Blocks) (Versión - S4CORE 107, 108)
  • SAP NetWeaver Application Server Java (Versión - WD-RUNTIME 7.50)
  • SAP NetWeaver (Service Data Download) (Versión - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP NetWeaver Application Server for ABAP (Versión – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP NetWeaver AS Java (IIOP Service) (Versión – SERVERCORE 7.50)
  • SAP Fiori App (F4044 Manage Work Center Groups) (Versión - UIS4HOP1 600, 700, 800, 900)
  • SAP NetWeaver Application Server for ABAP (Background Processing) (Versión - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP Fiori (Launchpad) (Versión - SAP_UI 754)
  • SAP NetWeaver AS Java (Adobe Document Service) (Versión - ADSSAP 7.50)
  • SAP Commerce Cloud (Versión - HY_COM 2205, COM_CLOUD 2211)

Análisis técnico

  • CVE-2025-42944: Debido a una vulnerabilidad de deserialización en SAP NetWeaver, un atacante no autenticado podría explotar el sistema a través del módulo RMI-P4 enviando una carga maliciosa a un puerto abierto. La deserialización de tales objetos Java no confiables podría conducir a la ejecución arbitraria de comandos del sistema operativo, lo que representa un alto impacto para la confidencialidad, integridad y disponibilidad de la aplicación.
    • CWE-502
    • CVSS: 10.0 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42922: SAP NetWeaver AS Java permite a un atacante autenticado como un usuario no administrativo utilizar una falla en un servicio disponible para subir un archivo arbitrario. Este archivo, cuando se ejecuta, puede llevar a un compromiso total de la confidencialidad, integridad y disponibilidad del sistema.
    • CWE-94
    • CVSS: 9.9 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2023-27500: Un atacante con autorizaciones no administrativas puede explotar una falla de recorrido de directorio en el programa SAPRSBRO para sobrescribir archivos del sistema. En este ataque, no se puede leer ningún dato, pero potencialmente se pueden sobrescribir archivos críticos del sistema operativo, lo que hace que el sistema no esté disponible.
    • CWE-22
    • CVSS: 9.6 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42958: Debido a una falta de verificación de autenticación en la aplicación SAP NetWeaver en IBM i-series, la aplicación permite a usuarios no autorizados con altos privilegios leer, modificar o eliminar información sensible, así como acceder a funcionalidades administrativas o privilegiadas. Esto resulta en un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
    • CWE-250
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42933: Cuando un usuario inicia sesión a través del cliente nativo de SAP Business One, el servicio de backend SLD falla al imponer una correcta encriptación de ciertas APIs. Esto conduce a la exposición de credenciales sensibles dentro del cuerpo de la respuesta http. Como resultado, tiene un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
    • CWE-522
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42916: Debido a la falta de validación de entrada, un atacante con acceso de alto privilegio a los informes ABAP podría eliminar el contenido de tablas de base de datos arbitrarias, si las tablas no están protegidas por un grupo de autorización. Esto conduce a un alto impacto en la integridad y disponibilidad de la base de datos, pero no tiene impacto en la confidencialidad.
    • CWE-1287
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-42929: Debido a la falta de validación de entrada, un atacante con acceso de alto privilegio a los informes ABAP podría eliminar el contenido de tablas de base de datos arbitrarias, si las tablas no están protegidas por un grupo de autorización. Esto conduce a un alto impacto en la integridad y disponibilidad de la base de datos.
    • CWE-1287
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-27428: Debido a una vulnerabilidad de recorrido de directorio, un atacante autorizado podría acceder a información crítica mediante un módulo de función habilitado para RFC. Si se explota con éxito, podría leer archivos de cualquier sistema administrado conectado a SAP Solution Manager, lo que afectaría gravemente la confidencialidad. No se observa impacto alguno en la integridad ni la disponibilidad.
    • CWE-862
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2023-5072: Denegación de Servicio (DoS) en versiones JSON-Java hasta 20230618 incluida. Un error en el parser significa que una cadena de entrada de tamaño modesto puede provocar el uso de cantidades indefinidas de memoria.
    • CWE-770
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

SAP insta a los clientes a visitar el Portal de Soporte y aplicar parches de seguridad con prioridad para proteger su paisaje SAP. Las vulnerabilidades presentes en varios productos, como SAP Netweaver, SAP Business One, SAP S/4HANA, SAP Commerce Cloud, entre otros, se pueden mitigar aplicando las actualizaciones proporcionadas. Se han identificado vulnerabilidades críticas en las versiones SERVERCORE 7.50 de SAP Netweaver (RMI-P4), J2EE-APPS 7.50 de SAP NetWeaver AS Java (Deploy Web Service) y múltiples versiones de SAP NetWeaver AS para ABAP y ABAP Platform, por lo que se recomienda aplicar parches de inmediato. También se han proporcionado actualizaciones para corriger vulnerabilidades remanentes de las notas de seguridad publicadas en marzo de 2023 y abril y julio de 2025. Los clientes pueden encontrar más detalles e instrucciones para la implementación de estas actualizaciones en el Portal de Soporte de SAP.

Referencias adicionales