Se han descubierto vulnerabilidades de severidad crítica y alta en productos SAP. Un actor malicioso podría lograr la ejecución de código arbitrario o comprometer la disponibilidad del servicio mediante la provocación de una denegación de servicio en los sistemas afectados.
Productos afectados
- SAP NetWeaver Enterprise Portal Administration versión 7.50.
- SAP Supply Chain Management (SCMAPO versiones 713, 714; S4CORE versiones 102, 103, 104; S4COREOP versiones 105, 106, 107, 108, 109; SCM versiones 700, 701, 702, 712).
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-27685: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables. Un actor malicioso con privilegios elevados podría cargar contenido no confiable que, al ser procesado por el sistema, resultaría en un alto impacto para la confidencialidad, integridad y disponibilidad del sistema anfitrión.
CVE-2026-27689: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de entrada no verificada para una condición de bucle. Un actor malicioso autenticado con privilegios de usuario regular podría invocar repetidamente módulos de funciones con parámetros de control excesivamente grandes, provocando el agotamiento de los recursos del sistema y su consecuente indisponibilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias