Vulnerabilidades corregidas en productos de SAP

09/07/2025 Noticias 0

SAP lanzó su actualización mensual Security Patch Day que aborda varias vulnerabilidades en múltiples productos empresariales. Estas vulnerabilidades podrían permitir la ejecución de código arbitrario, elevación de privilegios, denegación de servicio o divulgación de información.

Productos afectados

  • Gestión de relaciones con proveedores (Live Auction Cockpit), SRM_SERVER versión 7.14
  • S/4HANA y SCM, versiones SCMAPO 713-714, S4CORE 102-104, S4COREOP 105-108, SCM 700, 701, 702, 712
  • Red de portales federados NetWeaver Enterprise Portal, versión EP-RUNTIME 7.50
  • Administración del portal empresarial de NetWeaver, EP-RUNTIME versión 7.50
  • NetWeaver, versión J2EE-APPS 7.50
  • Servidor de aplicaciones NetWeaver para Java, versión LMNWABASICAPPS 7.50
  • Servidor ABAP NetWeaver y plataforma ABAP, SAP_BASIS versiones 700-702, 731, 740, 750-758, 914, 915
  • Servidor de aplicaciones NetWeaver para ABAP, SAP_BASIS versiones 701, 702, 731, 740, 750-758, 816
  • Business Warehouse y Plug-In Basis, versiones PI_BASIS 2006_1_700-702, 731, 740, SAP_BW 700, 750-758, 816

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-30012: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad en un componente de applet de Java obsoleto que podría permitir a un actor malicioso no autenticado enviar una solicitud de carga maliciosa en un formato de codificación específico.

CVE-2025-42967: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código. Esto podría permitir a un actor malicioso con privilegios de usuario crear un nuevo informe con su propio código, obteniendo así el control total del sistema SAP afectado

CVE-2025-42980: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad en la red de portal federado de SAP NetWeaver Enterprise Portal cuando un usuario privilegiado podría cargar contenido malicioso o no confiable.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html
  • https://www.cve.org/CVERecord?id=CVE-2025-30012
  • https://www.cve.org/CVERecord?id=CVE-2025-42967
  • https://www.cve.org/CVERecord?id=CVE-2025-42980