Actualización de seguridad de SAP

13/08/2025 Noticias 0

SAP ha lanzado su actualización de seguridad (Security Patch Day) de agosto. Esta actualización aborda múltiples vulnerabilidades de severidad alta y crítica en productos SAP.

Productos afectados

  • SAP S/4HANA (Private Cloud or On-Premise), versiones S4CORE 102, 103, 104, 105, 106, 107, 108.
  • SAP Landscape Transformation (Analysis Platform), versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020.
  • SAP Business One (SLD), versiones B1_ON_HANA 10.0, SAP-M-BO 10.0.
  • Servidor de aplicaciones NetWeaver ABAP (documento BIC), S4COREOP versiones 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.

Impacto

Las vulnerabilidades se han identificado como:

CVE-2025-42957: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de código, que podría permitir la evasión de los mecanismos de autorización. Un actor malicioso con privilegios de usuario podría aprovechar una vulnerabilidad en el módulo de función expuesto a través de RFC, poniendo en riesgo la confidencialidad, la integridad y la disponibilidad del sistema. Afecta a SAP S/4HANA.

CVE-2025-42950: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de código, que podría permitir la evasión de los mecanismos de autorización. Un actor malicioso con privilegios de usuario podría aprovechar una vulnerabilidad en el módulo de función expuesto a través de RFC, poniendo en riesgo la confidencialidad, la integridad y la disponibilidad del sistema. Afecta a SAP Landscape Transformation (SLT).

CVE-2025-42951: con una puntuación de 8.8 en CVSS v3.1. SAP Business One (SLD) tiene una vulnerabilidad por autorización inadecuada. Un actor malicioso autenticado podría ganar privilegios de administrador de una base de datos al invocar la API correspondiente.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://nvd.nist.gov/vuln/detail/CVE-2025-42957
  • https://nvd.nist.gov/vuln/detail/CVE-2025-42950
  • https://nvd.nist.gov/vuln/detail/CVE-2025-42951
  • https://nvd.nist.gov/vuln/detail/CVE-2025-42976
  • https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html