Se han descubierto vulnerabilidades de severidad crítica en productos SAP. Un actor malicioso podría ejecutar código arbitrario, sobrescribir archivos del sistema o ejecutar cargas maliciosas mediante la carga de archivos no restringida.
Productos afectados
- SAPSprint: versiones 8.00, 8.10
- SAP Supplier Relationship Management (SRMNXP01): versiones 100, 150
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-42937: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de recorrido de directorios en SAP Print Service (SAPSprint), que podría permitir a un actor malicioso sobrescribir archivos críticos del sistema de forma no autenticada.
CVE-2025-42910: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de carga de archivos no restringida en SAP Supplier Relationship Management, que podría permitir a un actor malicioso autenticado cargar archivos ejecutables maliciosos, facilitando la ejecución de código no autorizado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias