Vulnerabilidades en productos SAP

15/01/2026 Noticias 0

Se han descubierto vulnerabilidades de severidad crítica y alta en múltiples productos SAP. Un actor malicioso podría ejecutar código arbitrario, inyectar comandos SQL o comprometer la integridad del sistema.

Productos afectados

  • SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger): versiones S4CORE 102 a 109
  • SAP Wily Introscope Enterprise Manager (WorkStation): versión 10.8
  • SAP S/4HANA (Private Cloud and On-Premise): versiones S4CORE 102 a 109
  • SAP Landscape Transformation: versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020
  • SAP HANA database: versión HDB 2.00
  • SAP Application Server for ABAP y SAP NetWeaver RFCSDK: versiones KRNL64UC 7.53, NWRFCSDK 7.50, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-20260501: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL en el componente Financials – General Ledger de SAP S/4HANA. Un actor malicioso podría aprovechar la falta de saneamiento de datos para manipular consultas a la base de datos, lo que podría resultar en la divulgación o modificación no autorizada de datos críticos.

CVE-20260500: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en SAP Wily Introscope Enterprise Manager. Un actor malicioso podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema afectado.

CVE-20260498: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de código en SAP S/4HANA. Un actor malicioso podría inyectar y ejecutar código malicioso en la aplicación, comprometiendo la seguridad del sistema.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2026-0501

https://nvd.nist.gov/vuln/detail/CVE-2026-0500

https://nvd.nist.gov/vuln/detail/CVE-2026-0498

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html