Vulnerabilidades corregidas en productos de SAP

12/06/2025 Noticias 0

SAP lanzó su actualización mensual Security Patch Day que aborda varias vulnerabilidades en múltiples productos empresariales. Estas vulnerabilidades podrían permitir la elusión de autorización o la ejecución de código.

Productos afectados

  • SAP NetWeaver Application Server para ABAP KERNEL 7.89, 7.93, 9.14, 9.15
  • SAP GRC (complemento AC)– GRCPINW V1100_700, V1100_731
  • SAP Business Warehouse y SAP Plug-In Basis Versiones: PI_BASIS 2006_1_700, 701, 702, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915
  • Versiones de SAP BusinessObjects Business Intelligence (BI Workspace) ENTERPRISE 430, 2025, 2027
  • SAP NetWeaver Visual Composer VCBASE 7.50
  • SAP MDM Versiones: MDM_SERVER 710.750

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-42989: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad en el procesamiento entrante de RFC. Este no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que podría permitir una escalada de privilegios.

CVE-2025-42982: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad que podría permitir a un usuario no administrativo acceder e iniciar transacciones que podrían permitirle modificar o controlar las credenciales del sistema transmitidas.

CVE-2025-42983: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad que podría permitir eliminar tablas arbitrarias de la base de datos de SAP, lo que podría provocar la pérdida de datos o la inutilización del sistema.

CVE-2025-23192: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad que podría permitir a un actor malicioso no autenticado crear y almacenar un script malicioso en un espacio de trabajo.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2025-23192

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2025.html

https://www.cve.org/CVERecord?id=CVE-2025-42989

https://www.cve.org/CVERecord?id=CVE-2025-42982

https://www.cve.org/CVERecord?id=CVE-2025-42983

Compartir: