Como parte del Security Patch Day de mayo, SAP lanza actualizaciones de seguridad para abordar varias vulnerabilidades, incluida una con una severidad crítica y cuatro con una severidad alta.
Productos afectados
- NetWeaver, versión VCFRAMEWORK 7.50
- Gestión de relaciones con proveedores, SRM_SERVER versión 7.14
- S/4HANA Cloud Private Edition/on Premise, versiones de S4CORE 102 a 108
- S/4HANA Cloud Private Edition/on Premise, versiones SCM_BASIS 700 a 702 y 712 a 714
- Plataforma de inteligencia empresarial de Business Objects, versiones ENTERPRISE 430, 2025 y 2027
- Landscape Transformation, versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020
- Landscape Transformation, versiones S4CORE 102 a 108
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-42999: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad en el cargador de metadatos de SAP NetWeaver Visual Composer, que podría permitir a un usuario privilegiado cargar contenido malicioso o no confiable que, al deserializarse, podría comprometer la confidencialidad, integridad y disponibilidad del sistema host.
CVE-2025-30018: con una puntuación de 8.6 en CVSS v3.1. Esta vulnerabilidad podría permitir a un actor malicioso no autenticado enviar una solicitud de servlet de aplicación con un archivo XML manipulado que, al analizarse, le permitiría acceder a archivos y datos confidenciales.
CVE-2025-43010: con una puntuación de 8.3 en CVSS v3.1. Esta vulnerabilidad podría permitir que un actor malicioso autenticado con autorización estándar de SAP ejecute remotamente un módulo de función específico y reemplace programas ABAP arbitrarios, incluidos los programas estándar de SAP.
CVE-2025-43000: con una puntuación de 7.9 en CVSS v3.1. Esta vulnerabilidad podría permitir a un actor malicioso acceder, bajo ciertas condiciones, a información que de otro modo estaría restringida.
CVE-2025-43011: con una puntuación de 7.7 en CVSS v3.1. Esta vulnerabilidad podría permitir que un actor malicioso autenticado acceda a funcionalidades o datos restringidos, debido a la ausencia de las comprobaciones de autorización necesarias.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
https://www.cve.org/CVERecord?id=CVE-2025-42999
https://www.cve.org/CVERecord?id=CVE-2025-30018
https://www.cve.org/CVERecord?id=CVE-2025-43010
https://www.cve.org/CVERecord?id=CVE-2025-43000
https://www.cve.org/CVERecord?id=CVE-2025-43011