SAP ha lanzado actualizaciones de seguridad correspondientes al mes de Marzo estás actualizaciones de seguridad corrige varias vulnerabilidades, incluidas 2 de severidad alta.
Productos afectados
SAP NetWeaver (ABAP Class Builder), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 SAP_BASIS 914
Gestión de relaciones con los proveedores (catálogo de gestión de datos maestros), Versión SRM_MDM_CAT 7.52
- SAP Commerce (Swagger UI), versión COM_CLOUD 2211
Impacto
Las vulnerabilidades de severidad alta se identifican como:
CVE-2025-26661: Puntuación CVSS 8.8. Debido a la falta de verificación de autorización, SAP NetWeaver (ABAP Class Builder) permite que un atacante obtenga niveles de acceso más altos de los que debería tener, lo que resulta en una escalada de privilegios. En caso de explotación exitosa, esto podría resultar en la divulgación de información altamente confidencial.
CVE-2025-27434: Puntuación CVSS 8.8. Esta Vulnerabilidad permite que un actor malicioso no autenticado inyecte el código malicioso de fuentes remotas debido a una validación de entrada insuficiente, SAP Commerce (Swagger UI), que puede ser aprovechado para ejecutar un ataque de secuencias de comandos entre sitios (XSS). Esto podría tener un gran impacto en la confidencialidad, integridad y disponibilidad de los datos en SAP Commerce.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias