Se han descubierto vulnerabilidades de severidad crítica y alta en productos SAP. Un actor malicioso podría realizar inyección de código, omitir verificaciones de autorización o manipular mensajes autenticados en los sistemas afectados.
Productos afectados
- SAP CRM y S/4HANA (Scripting Editor): versiones S4FND 102 a 109, SAP_ABA 700 y WEBCUIF 700 a 801.
- SAP NetWeaver Application Server ABAP y ABAP Platform: versiones de Kernel 7.22 a 9.19 y SAP_BASIS 700 a 918.
- SAP Commerce Cloud, SAP BusinessObjects BI y otros componentes detallados en el parche de febrero de 2026.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-0488: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de inyección de código en el Editor de Scripts de SAP CRM y SAP S/4HANA. Un actor malicioso remoto podría lograr la ejecución de código arbitrario con privilegios elevados, comprometiendo totalmente la integridad y disponibilidad del servidor.
CVE-2026-0509: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de falta de verificación de autorización en SAP NetWeaver Application Server ABAP. Un actor malicioso podría lograr el acceso no autorizado a funciones restringidas del sistema debido a una validación insuficiente de permisos.
CVE-2026-23687: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de verificación incorrecta de la firma criptográfica en SAP NetWeaver Application Server ABAP. Un actor malicioso remoto podría lograr la manipulación de documentos XML autenticados, facilitando ataques de suplantación de identidad o acceso no autorizado a datos confidenciales del usuario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias