Noticias

Actualización de seguridad de Sap- Febrero 2026

Fecha de publicación: 

Resumen ejecutivo

El 10 de febrero de 2026, SAP publicó 26 nuevas notas de seguridad y realizó una actualización a una nota previamente emitida en su Boletín de Seguridad, sumando un total de 27 vulnerabilidades corregidas. Entre ellas, dos fueron clasificadas como críticas, destacando la vulnerabilidad de Code Injection en SAP CRM y SAP S/4HANA (Scripting Editor) con un CVSS de 9.9, y la falta de verificación de autorización en SAP NetWeaver AS ABAP y ABAP Platform con un CVSS de 9.6. También se abordaron varias vulnerabilidades de severidad alta, incluyendo fallos de XML Signature Wrapping, Denegación de Servicio y Open Redirect que afectan a componentes como SAP NetWeaver, BusinessObjects BI y Commerce Cloud. SAP recomienda visitar el Portal de Soporte y aplicar con prioridad los parches disponibles para asegurar adecuadamente el entorno SAP.

Recursos afectados

  • SAP CRM y SAP S/4HANA (Scripting Editor) (Versiones: S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801)
  • SAP NetWeaver Application Server ABAP y ABAP Platform (Versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19)
  • SAP NetWeaver AS ABAP y ABAP Platform (Versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917, SAP_BASIS 918)
  • SAP Supply Chain Management (Versiones: SCMAPO 713, 714, SCM 700, 701, 702, 712)
  • SAP Solution Tools Plug-In (ST-PI) (Versiones: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP BusinessObjects BI Platform (Versiones: ENTERPRISE 430, 2025, 2027)
  • SAP Commerce Cloud (Versiones: HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21)
  • SAP BusinessObjects Business Intelligence Platform (Versiones: ENTERPRISE 430, 2025, 2027)
  • SAP Document Management System (Versiones: SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606, 617)
  • Business Server Pages Application (TAF_APPLAUNCHER) (Versiones: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) (Versiones: KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12, 9.14)
  • SAP Business One (B1 Client Memory Dump Files) (Versiones: B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP Business Workflow (Versiones: SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • ABAP based SAP systems (Versiones: ST-PI 2005_1_700, 2008_1_710, 740, 758)
  • SAP BusinessObjects Enterprise (Central Management Console) (Versiones: ENTERPRISE 430, 2025, 2027)
  • SAP NetWeaver (JMS service) (Versiones: J2EE-FRMW 7.50)
  • SAP Fiori App (Manage Service Entry Sheets - Lean Services) (Versiones: S4CORE 102, 103, 104, 105, 106, 107)
  • SAP Support Tools Plug-In (Versiones: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP S/4HANA Defense & Security (Disconnected Operations) (Versiones: EA-DFPS 600, 603, 604, 605, 606, 616, 617, 618, 619, 800, 801, 802, 803, 804, 805, 806, 807, 808, 809)
  • SAP Strategic Enterprise Management (Balanced Scorecard in BSP Application) (Versiones: SEM-BW 600, 700, 602, 603, 604, 605, 634, 736, 746, 747, 748, 800)
  • SAP NetWeaver Application Server Java (Versiones: LMNWABASICAPPS 7.50)
  • SAP NetWeaver y ABAP Platform (Application Server ABAP) (Versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.16, 9.17, 9.18)

Análisis técnico

  • CVE-2026-0488: Una vulnerabilidad en SAP CRM y SAP S/4HANA permite a un atacante autenticado ejecutar funciones críticas sin autorización, incluyendo la ejecución de declaraciones SQL arbitrarias. Esto puede resultar en una violación total de la base de datos, afectando gravemente la confidencialidad, integridad y disponibilidad de los datos. Para aprovechar esta falla, el atacante necesita estar autenticado en el sistema.
    • CWE-862
    • CVSS: 9.9 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-0509: SAP NetWeaver Application Server ABAP permite a un usuario autenticado con bajos privilegios realizar Llamadas a Funciones Remotas sin la autorización S_RFC necesaria en ciertos casos. Esto puede causar un alto impacto en la integridad y disponibilidad del sistema, aunque no afecta la confidencialidad de la aplicación. Se requiere que el usuario esté autenticado para explotar esta vulnerabilidad.
    • CWE-862
    • CVSS: 9.6 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-23687: La vulnerabilidad en SAP NetWeaver Application Server ABAP y ABAP Platform permite a un atacante autenticado obtener un mensaje firmado válido y enviar documentos XML firmados modificados al verificador. Esto podría resultar en la aceptación de información de identidad alterada, acceso no autorizado a datos sensibles y potencial interrupción del uso normal del sistema. Se requiere que el atacante esté autenticado y tenga privilegios normales para explotar esta falla.
    • CWE-347
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-23689: Se ha identificado una vulnerabilidad de consumo incontrolado de recursos (Denial of Service) en la que un atacante autenticado con privilegios de usuario regulares puede activar una función remota con un parámetro de control de bucle excesivamente grande. Esto provoca una ejecución prolongada del bucle que consume recursos del sistema, pudiendo dejarlo inoperativo. La explotación exitosa afecta la disponibilidad del sistema, mientras que la confidencialidad y la integridad no se ven comprometidas.
    • CWE-606
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-24322: SAP Solution Tools Plug-In (ST-PI) presenta una vulnerabilidad donde un módulo de función no realiza las verificaciones de autorización necesarias para usuarios autenticados, lo que permite la divulgación de información sensible. Este fallo puede comprometer gravemente la confidencialidad de los datos, aunque no afecta la integridad ni la disponibilidad. No se especifican requisitos de explotación adicionales.
    • CWE-862
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-0490: La vulnerabilidad en SAP BusinessObjects BI Platform permite a un atacante no autentificado enviar una solicitud de red específica que interrumpe la autenticación, bloqueando el acceso de usuarios legítimos. Esto provoca un alto impacto en la disponibilidad del sistema, aunque no afecta la confidencialidad ni la integridad de los datos. No se indican requisitos especiales para la explotación.
    • CWE-862
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-0485: Una vulnerabilidad en SAP BusinessObjects BI Platform permite a un atacante no autenticado enviar solicitudes específicas que pueden hacer que el Content Management Server (CMS) se bloquee y se reinicie automáticamente. Esto podría causar una interrupción del servicio, dejando el CMS completamente inoperativo. La explotación exitosa de esta vulnerabilidad tiene un alto impacto en la disponibilidad del servicio, mientras que la confidencialidad y la integridad de los datos no se ven afectadas.
    • CWE-405
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-12383: Una condición de carrera en Eclipse Jersey versiones 2.45, 3.0.16 y 3.1.9 puede provocar que se ignoren configuraciones críticas de SSL, como la autenticación mutua y los almacenes de claves. Esto podría permitir que un atacante confíe en servidores inseguros, resultando en una excepción SSLHandshakeException en circunstancias normales. La explotación de esta vulnerabilidad requiere condiciones específicas para desencadenar el problema.
    • CWE-362
    • CVSS: 7.4 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-0508: La vulnerabilidad en SAP BusinessObjects Business Intelligence Platform permite que un atacante autenticado con altos privilegios inserte URLs maliciosas en la aplicación. Esto puede llevar a un redireccionamiento no validado hacia un dominio controlado por el atacante, lo que podría resultar en la descarga de contenido malicioso. El impacto de esta vulnerabilidad es alto, afectando la confidencialidad e integridad de la aplicación, pero no afecta su disponibilidad.
    • CWE-601
    • CVSS: 7.3 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-0484: Una vulnerabilidad en SAP NetWeaver Application Server ABAP y SAP S/4HANA permite que un atacante autenticado acceda a un código de transacción específico y modifique datos textuales en el sistema. El impacto potencial es alto en la integridad de la aplicación, sin afectar la confidencialidad ni la disponibilidad. Para explotar esta vulnerabilidad, el atacante necesita estar autenticado en el sistema.
    • CWE-601
    • CVSS: 6.5 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-24324: La vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (AdminTools) permite a un atacante autenticado ejecutar una consulta que puede provocar que el servidor de gestión de contenido (CMS) se bloquee. Esto resulta en una denegación de servicio, afectando la disponibilidad del sistema. La explotación exitosa requiere que el atacante tenga privilegios de usuario en AdminTools. La confidencialidad y la integridad del sistema no se ven afectadas.
    • CWE-405
    • CVSS: 6.5 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-24323: Las aplicaciones BSP permiten que un usuario no autenticado inyecte contenido de script malicioso a través de parámetros de URL controlados por el usuario que no están adecuadamente sanitizados. Esto puede resultar en un bajo impacto en la confidencialidad e integridad al ejecutar el script en el navegador de la víctima, sin afectar la disponibilidad de la aplicación. No se requieren condiciones especiales para explotar esta vulnerabilidad.
    • CWE-601
    • CVSS: 6.1 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-0505: Las aplicaciones BSP permiten a un usuario no autenticado manipular parámetros de URL controlados por el usuario que no son adecuadamente validados. Esto podría resultar en redirecciones no validadas a sitios web controlados por atacantes, lo que conlleva un impacto bajo en la confidencialidad e integridad, sin afectar la disponibilidad de la aplicación. No se requieren condiciones especiales para explotar esta vulnerabilidad.
    • CWE-79
    • CVSS: 6.1 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-24328: La vulnerabilidad en SAP TAF_APPLAUNCHER permite que un atacante no autenticado cree enlaces maliciosos que redirigen a las víctimas a sitios controlados por el atacante. Esto puede exponer o alterar información sensible en el navegador de la víctima, afectando la confidencialidad e integridad de los datos, aunque no impacta la disponibilidad de la aplicación. No se establecen requisitos especiales para la explotación de esta vulnerabilidad.
    • CWE-601
    • CVSS: 6.1 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Explotación: No detectada
  • CVE-2025-0059: Las aplicaciones SAP GUI para HTML en SAP NetWeaver Application Server ABAP presentan una vulnerabilidad que permite a un atacante con privilegios administrativos acceder a la información almacenada localmente en el navegador. Esto podría revelar datos que van desde información no crítica hasta datos altamente sensibles, comprometiendo gravemente la confidencialidad de la aplicación. Se requiere acceso al directorio de usuarios de la víctima en el sistema operativo para explotar esta vulnerabilidad.
    • CWE-497
    • CVSS: 6.0 (media)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-23684: Existe una vulnerabilidad de condición de carrera en SAP Commerce Cloud que permite a un atacante crear entradas en el carrito con valores erróneos al agregar productos. Esto puede afectar gravemente la integridad de los datos, aunque no compromete la confidencialidad ni la disponibilidad de la aplicación. No se especifican requisitos de explotación adicionales.
    • CWE-366
    • CVSS: 5.9 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-24319: En SAP Business One, la información sensible se almacena en los archivos de volcado de memoria de la aplicación sin ofuscación. El acceso a esta información podría permitir operaciones no autorizadas, como la modificación de datos de la empresa, lo que afecta gravemente la confidencialidad y la integridad, sin impactar la disponibilidad. No se requieren condiciones específicas para explotar esta vulnerabilidad.
    • CWE-316
    • CVSS: 5.8 (media)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-24321: SAP Commerce Cloud presenta vulnerabilidades en múltiples API que permiten a usuarios no autenticados realizar solicitudes y acceder a información sensible. El impacto potencial de esta vulnerabilidad es bajo en términos de confidencialidad, sin afectar la integridad ni la disponibilidad. No se requieren condiciones especiales para explotar esta vulnerabilidad, lo que facilita el acceso a datos no destinados a ser públicos.
    • CWE-359
    • CVSS: 5.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-24312: Una verificación de autorización errónea en SAP Business Workflow permite la escalación de privilegios. Un usuario administrativo autenticado puede eludir restricciones de rol, utilizando permisos de funciones menos sensibles para realizar acciones no autorizadas de alto privilegio. Esto tiene un alto impacto en la integridad de los datos, con un bajo impacto en la confidencialidad y sin impacto en la disponibilidad de la aplicación. No se mencionan requisitos específicos para la explotación.
    • CWE-862
    • CVSS: 5.2 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-0486: En los sistemas SAP basados en ABAP, un módulo de función habilitado para remoto no realiza las verificaciones de autorización necesarias para un usuario autenticado, lo que permite la divulgación de información del sistema. Esto tiene un bajo impacto en la confidencialidad. La integridad y disponibilidad no se ven afectadas. No se especifican requisitos adicionales para la explotación.
    • CWE-862
    • CVSS: 5.0 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-24325: SAP BusinessObjects Enterprise presenta una vulnerabilidad de Stored Cross-Site Scripting (XSS) debido a una insuficiente codificación de entradas controladas por el usuario. Esto permite a un usuario administrador inyectar JavaScript malicioso en un sitio web, el cual se ejecuta cuando otro usuario visita la página comprometida. El impacto en la confidencialidad e integridad de los datos es bajo, y no hay efecto en la disponibilidad de la aplicación.
    • CWE-79
    • CVSS: 4.8 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-23685: Se ha identificado una vulnerabilidad de deserialización en SAP NetWeaver (servicio JMS) que puede ser aprovechada por un atacante autenticado como administrador con acceso local. Si se procesa el contenido malicioso, podría ocasionar un comportamiento no deseado en la lógica interna, lo que podría llevar a un denegación de servicio. La explotación exitosa tendría un alto impacto en la disponibilidad, sin afectar la confidencialidad ni la integridad.
    • CWE-502
    • CVSS: 4.4 (media)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-23681: Una falta de verificación de autorización en un módulo de función de SAP Support Tools Plug-In permite a un atacante autenticado invocar módulos específicos para obtener información del sistema y su configuración. Esta divulgación de información podría ayudar al atacante a planificar futuros ataques. La vulnerabilidad tiene un impacto bajo en la confidencialidad de la aplicación, sin afectar su integridad ni disponibilidad.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-23688: La aplicación SAP Fiori para gestionar hojas de entrada de servicios no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que permite una escalada de privilegios. El impacto en la integridad es bajo, y la confidencialidad y disponibilidad no se ven afectadas. Para explotar esta vulnerabilidad, es necesario que el usuario esté autenticado.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-24326: Una vulnerabilidad en SAP S/4HANA Defense & Security permite a un atacante con privilegios de usuario ejecutar módulos de funciones remotas para actualizar directamente tablas de base de datos estándar. Esto podría afectar levemente la integridad de los datos, sin comprometer la confidencialidad ni la disponibilidad de la aplicación. Se requiere que el atacante tenga privilegios de usuario para explotar esta vulnerabilidad.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-24327: Una vulnerabilidad en SAP Strategic Enterprise Management permite a un atacante autenticado acceder a información no autorizada debido a la falta de verificación de autorización. Esto puede comprometer la confidencialidad de los datos, aunque el impacto es bajo y no afecta la integridad ni la disponibilidad. Para explotar esta vulnerabilidad, el atacante debe estar autenticado en el sistema.
    • CWE-862
    • CVSS: 4.3 (media)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-23686: La vulnerabilidad de inyección CRLF en SAP NetWeaver Application Server Java permite que un atacante autenticado con acceso administrativo envíe contenido malicioso a la aplicación. Si este contenido es procesado, puede inyectar entradas no confiables en la configuración generada, lo que permite manipular ajustes controlados por la aplicación. La explotación exitosa tiene un impacto bajo en la integridad, mientras que la confidencialidad y la disponibilidad no se ven afectadas.
    • CWE-113
    • CVSS: 3.4 (baja)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N
    • Explotación: No detectada
  • CVE-2026-24320: Una vulnerabilidad en la gestión de memoria de SAP NetWeaver y ABAP Platform permite que un atacante autenticado, al proporcionar datos especiales con caracteres únicos, genere errores lógicos que pueden causar corrupción de memoria. Esto podría resultar en la filtración de contenido de memoria, aunque el impacto en la confidencialidad de la aplicación sería bajo, sin afectaciones a su integridad o disponibilidad. No se especifican requisitos adicionales para la explotación.
    • CWE-113
    • CVSS: 3.1 (baja)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Explotación: No detectada

Mitigación / Solución

Para prevenir estas y otras vulnerabilidades, se recomienda aplicar las actualizaciones de seguridad más recientes de SAP en todos los sistemas afectados.

Referencias adicionales