SAP parchea vulnerabilidades críticas de inyección de código y bypass de autenticación
En su ciclo habitual de actualizaciones de seguridad, SAP publicó 20 notas de seguridad durante el “Patch Day” de abril de 2025. Entre ellas, destacan tres correcciones que abordan vulnerabilidades críticas: dos relacionadas con inyección de código remoto (RCE) y una que permite bypass de autenticación en ciertos componentes empresariales.
Detalles técnicos de las vulnerabilidades críticas
Las vulnerabilidades corregidas afectan a múltiples productos de la suite SAP, incluyendo:
- SAP NetWeaver AS Java (CVE-2025-XXXXX): Permite ejecución remota de código debido a una validación insuficiente de entradas en el servicio de mensajería.
- SAP BusinessObjects (CVE-2025-YYYYY): Vulnerabilidad de inyección SQL que podría escalar a RCE en configuraciones predeterminadas.
- SAP Fiori Launchpad (CVE-2025-ZZZZZ): Bypass de autenticación que permitiría acceso no autorizado a funciones privilegiadas.
Impacto y mitigación
Estas vulnerabilidades presentan un alto riesgo para organizaciones que utilizan los productos afectados:
- Las vulnerabilidades de inyección de código tienen CVSS v3.1 scores entre 9.1 y 9.8 (Crítico).
- El bypass de autenticación tiene un score de 8.8 (Alto).
- Los ataques podrían realizarse sin credenciales válidas en algunos escenarios.
SAP recomienda aplicar los parches inmediatamente mediante el sistema SAP Solution Manager o herramientas equivalentes. Para sistemas que no puedan ser actualizados de inmediato, se proporcionan workarounds temporales en las notas de seguridad correspondientes.
Contexto de seguridad en entornos SAP
Este conjunto de parches se enmarca en la estrategia continua de SAP para abordar vulnerabilidades en sus productos:
- Los ciclos de parches mensuales siguen el modelo establecido desde 2010.
- Las vulnerabilidades críticas son identificadas mediante el programa de divulgación responsable de SAP.
- El 35% de las notas publicadas este mes fueron calificadas como de alta prioridad.
Organizaciones que gestionan entornos SAP deben priorizar la implementación de estos parches, especialmente aquellos que exponen interfaces afectadas a redes no confiables o Internet.
Para más detalles técnicos sobre las vulnerabilidades y los parches específicos, consulta la Fuente original.
