Se han descubierto vulnerabilidades de severidad crítica y alta en múltiples productos SAP. Un actor malicioso podría ejecutar código arbitrario, acceder a información sensible o provocar una denegación de servicio.
Productos afectados
- SAP Solution Manager: versión ST 720
- SAP Web Dispatcher: versiones afectadas (KRNL64NUC/UC 7.22, 7.53, 7.77, 7.89, 7.93, 9.16, entre otras)
- SAP Internet Communication Manager (ICM): versiones afectadas
- SAP NetWeaver (servicio remoto para Xcelsius): versiones BI-BASE-E/B/S 7.50, BI-IBC 7.50, BIWEBAPP 7.50
- SAP Content Server: versiones KRNL64UC 7.53, WEBDISP 7.53, 7.54
- jConnect (SDK para ASE): versiones 16.0.4, 16.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-42880: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de código en SAP Solution Manager. Un actor malicioso autenticado con privilegios bajos podría aprovechar la falta de saneamiento de entradas al llamar a un módulo de función habilitado remotamente para ejecutar código arbitrario, logrando potencialmente el control total del sistema.
CVE-2025-42878: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de exposición de información sensible en SAP Web Dispatcher y SAP Internet Communication Manager. Un actor malicioso podría acceder a interfaces de prueba internas que no deberían estar expuestas, permitiéndole obtener diagnósticos, enviar solicitudes manipuladas o interrumpir servicios.
CVE-2025-42874: con una puntuación de 7.9 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el servicio remoto para Xcelsius de SAP NetWeaver. Un actor malicioso podría comprometer la disponibilidad del servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-42880
- https://www.cve.org/CVERecord?id=CVE-2025-42878
- https://www.cve.org/CVERecord?id=CVE-2025-42874
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html