Se han descubierto vulnerabilidades de severidad crítica en productos SAP. Un actor malicioso podría lograr la ejecución de código arbitrario, control total del sistema y acceso no autorizado en los sistemas afectados.
Productos afectados
- SAP SQL Anywhere Monitor (Non-GUI): versiones 17.0 y anterior (todas las compilaciones antes de 17.0 SP1 PL20 Build 8039)
- SAP NetWeaver Application Server Java: deployments con módulo RMI-P4 expuesto; especialmente ServerCore versión 7.50
- SAP Solution Manager SV-SMG-SVD-SWB: versión ST 720
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-42890: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de gestión insegura de claves y credenciales en SAP SQL Anywhere Monitor. Un actor malicioso podría lograr el acceso no autenticado y la ejecución de código arbitrario.
CVE-2025-42944: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de deserialización insegura en el módulo RMI-P4 de SAP NetWeaver AS Java. Un actor malicioso podría lograr la ejecución de comandos arbitrarios a nivel de sistema.
CVE-2025-42887: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de código debido a falta de saneamiento en la entrada de funciones remotas de SAP Solution Manager. Un actor malicioso podría insertar código malicioso y tomar control del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-42890
- https://nvd.nist.gov/vuln/detail/CVE-2025-42944
- https://nvd.nist.gov/vuln/detail/CVE-2025-42887
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html