Noticias

Actualización mensual de seguridad de SAP - Abril 2025

Fecha de publicación: 

Resumen ejecutivo

SAP ha publicado su boletín mensual de seguridad correspondiente a abril de 2025, con un total de 18 nuevas notas de seguridad y 2 actualizaciones de notas previamente emitidas. Entre los avisos más relevantes se encuentran varias vulnerabilidades críticas que requieren atención prioritaria por parte de los administradores de sistemas.

Destacan dos fallos de inyección de código: CVE-2025-27429, que afecta a SAP S/4HANA (Private Cloud), y CVE-2025-31330, presente en SAP Landscape Transformation (Analysis Platform), ambos con una puntuación CVSS de 9.9. A estos se suma una vulnerabilidad de bypass de autenticación en SAP Financial Consolidation (CVE-2025-30016), con una puntuación CVSS de 9.8. En cuanto a fallos clasificados con severidad alta, destaca CVE-2025-0064, que afecta a SAP BusinessObjects Business Intelligence (actualización de una nota previa), con CVSS 8.8.

También se ha detectado una vulnerabilidad en el manejo de destinos RFC dinámicos en SAP NetWeaver AS ABAP (CVE-2025-23186, CVSS 8.5). Asimismo, se ha reportado una condición de carrera TOCTOU en Apache Tomcat integrado en SAP Commerce Cloud (CVE-2024-56337) con una puntuación de 8.1, que puede permitir explotación dependiendo de la configuración del sistema de archivos y la versión de Java utilizada. Finalmente, se identificaron dos vulnerabilidades de tipo directory traversal: CVE-2025-30014 en SAP Capital Yield Tax Management (CVSS 7.7) y CVE-2025-27428 en SAP NetWeaver y ABAP Platform, esta última aún sin puntuación CVSS publicada. Se recomienda aplicar con urgencia los parches disponibles y seguir las directrices publicadas en el portal de soporte de SAP para mitigar estas amenazas y mantener la seguridad de los entornos afectados.

Recursos afectados

  • SAP S/4HANA (Private Cloud) (Versions - S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP Landscape Transformation (Analysis Platform) (Versions - DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731)
  • SAP Financial Consolidation (Version - FINANCE 1010)
  • SAP BusinessObjects Business Intelligence platform (Central Management Console) (Versions - ENTERPRISE 430, 2025)
  • SAP NetWeaver Application Server ABAP (Versions - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93)
  • SAP Commerce Cloud (Versions - HY_COM 2205, COM_CLOUD 2211)
  • SAP Capital Yield Tax Management (Versions - CYTERP 420_700, CYT 800, IBS 7.0, CYT4HANA 100)
  • SAP NetWeaver and ABAP Platform (Service Data Collection) (Versions - ST-PI 2008_1_700, 2008_1_710, 740)
  • SAP Commerce Cloud (Public Cloud) (Version - COM_CLOUD 2211)
  • SAP ERP BW Business Content (Versions - BI_CONT 707, 737, 747, 757)
  • SAP BusinessObjects Business Intelligence Platform (Version - ENTERPRISE 430)
  • SAP KMC WPC (Version - KMC-WPC 7.50)
  • SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) (Versions - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14)
  • SAP Solution Manager (Versions - ST 720, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 914)
  • SAP S4CORE entity (Versions - S4CORE 107, 108)
  • SAP NetWeaver Application Server ABAP (Virus Scan Interface) (Versions - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758)
  • SAP NetWeaver (Versions - SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I)
  • SAP Commerce Cloud (Versions - HY_COM 2205, COM_CLOUD 2211)
  • SAP NetWeaver and ABAP Platform (Application Server ABAP) (Versions - KRNL64UC 7.53, KERNEL 7.53, 7.54)
  • SAP CRM and SAP S/4HANA (Interaction Center) (Versions - S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800, 801)

Análisis técnico

  • CVE-2025-27429: Vulnerabilidad de inyección de código en SAP S/4HANA (Private Cloud). Un atacante remoto no autenticado puede ejecutar código arbitrario, comprometiendo por completo el sistema afectado.
    • CWE-94
    • CVSS: 9.9
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31330: Inyección de código en SAP Landscape Transformation (Analysis Platform). Permite a un atacante ejecutar código arbitrario en el servidor afectado con impacto total sobre la seguridad.
    • CWE-94
    • CVSS: 9.9
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30016: Vulnerabilidad de omisión de autenticación en SAP Financial Consolidation. Permite el acceso no autorizado al sistema mediante la evasión de controles de autenticación.
    • CWE-287
    • CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-0064: Autorización inadecuada en la consola de administración central de SAP BusinessObjects. Permite a un atacante generar o recuperar contraseñas y suplantar usuarios.
    • CWE-285
    • CVSS: 8.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2025-23186: Vulnerabilidad en destinos RFC dinámicos mediante Remote Function Call (RFC) en SAP NetWeaver AS ABAP. Podría permitir ejecución de funciones remotas no autorizadas.
    • CWE-639
    • CVSS: 8.5
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-56337: Apache Tomcat presenta una condición de carrera (TOCTOU) que afecta a versiones anteriores a 11.0.3, 10.1.35 y 9.0.99. El riesgo se presenta en sistemas que no distinguen entre mayúsculas y minúsculas cuando se habilita la escritura en el servlet predeterminado. Para mitigarla, se debe establecer sun.io.useCanonCaches=false en Java 8, 11 o 17. En Java 21 o superior no se requiere configuración adicional.
    • CWE-367
    • CVSS: 8.1
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30014: Vulnerabilidad de recorrido de directorios en SAP Capital Yield Tax Management. Permite a un atacante acceder a archivos arbitrarios fuera del directorio permitido.
    • CWE-22
    • CVSS: 7.7
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Explotación: No detectada

Mitigación / Solución

SAP recomienda a sus clientes acceder al SAP Support Portal y aplicar lo antes posible las actualizaciones de seguridad correspondientes al mes de abril de 2025. Además, SAP subraya la importancia de seguir sus recomendaciones oficiales de configuración segura, disponibles en su portal de soporte. Estas directrices ayudan a reforzar la postura de seguridad general del entorno SAP, reduciendo la superficie de ataque y garantizando una operación fiable y protegida.

Referencias adicionales