SAP ha lanzado su actualización del Día de Security Patch de julio de 2025, abordando un número significativo de vulnerabilidades en su cartera de software empresarial.
La actualización de seguridad integral incluye 27 nuevas notas de seguridad y 3 actualizaciones a parches publicados anteriormente, con siete vulnerabilidades clasificadas como críticas según sus puntajes CVSS.
La vulnerabilidad más severa, que afecta la gestión de la relación de proveedores de SAP (cabina de subastas en vivo) ha recibido el puntaje CVSS máximo de 10.0, lo que indica la necesidad urgente de parches inmediatos en los entornos de SAP en todo el mundo.
Control de llave
1. SAP lanzó 27 nuevas notas de seguridad más 3 actualizaciones el 8 de julio de 2025.
2. Siete vulnerabilidades críticas identificadas, con CVE-2025-30012 puntuación máxima CVSS 10.0.
3. Afecta los principales productos de SAP, incluidos S/4HANA, NetWeaver, ABAP Platform y SAPCAR.
4. Se recomienda la implementación de parche inmediata para la autenticación crítica y las vulnerabilidades de inyección.
Vulnerabilidad crítica de SAP SRM (CVE-2025-30012)
Las siete vulnerabilidades críticas identificado En este parche, el ciclo plantea riesgos significativos para los entornos de SAP y requiere una acción administrativa inmediata.
La amenaza más severa proviene de CVE-2025-30012, un problema de vulnerabilidad múltiple en la gestión de relaciones con proveedores de SAP (cabina de subastas en vivo) que afecta a SRM_Server versión 7.14.
La vulnerabilidad es particularmente preocupante debido a su puntaje máximo de CVSS de 10.0, lo que indica que presenta un riesgo extremadamente alto para los sistemas afectados con potencial de compromiso completo del sistema.
La vulnerabilidad es parte de una preocupación de seguridad más amplia que abarca múltiples CVE relacionadas, incluidos CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 y CVE-2025-30018.
Esta naturaleza interconectada sugiere que la vulnerabilidad afecta a múltiples componentes o funciones dentro de la cabina de subastas en vivo, creando vectores de ataque múltiples que los actores maliciosos podrían explotar simultáneamente.
Seis defectos críticos adicionales
Seis vulnerabilidades críticas adicionales, todas las puntuaciones 9.1 en la escala CVSS, se dirigen a varios componentes de la infraestructura de SAP.
CVE-2025-42967 aborda una vulnerabilidad de inyección de código en SAP S/4HANA y SAP SCM (propagación característica), que afectan múltiples versiones, incluidos SCMAPO 713-714, S4Core 102-104 y S4CoreOp 105-108.
Las vulnerabilidades críticas restantes se centran en problemas de deserialización inseguros en los componentes del portal empresarial de SAP Netweaver, incluida la CVE-2025-42980 en la red de portal federado, CVE-2025-42964 en la administración del portal, CVE-2025-42966 en el servicio de archivo de datos XML y CVE-2025-42963 en la aplicación Jave Log Viewer para Jave Viewer para Jave Viewer para Jave Viewer para Jave Viewer para Jave Viewer en la aplicación Jave Viewer para Jave Viewer para Jave Views en la aplicación Jave Viewer para Jave Viewer para Jave Views en la aplicación Jave Viewer para Jave Views en la Aplicación Java Viewer de Java. entornos.
Defectos de gravedad alta y media
Las vulnerabilidades de alta prioridad incluyen CVE-2025-42959, que aborda las verificaciones de autenticación faltantes en el servidor ABAP de SAP Netweaver y la plataforma ABAP en múltiples versiones SAP_BASIS que van desde 700 a 915.
Esta vulnerabilidad obtiene 8.1 en la escala CVSS y afecta una amplia gama de instalaciones de SAP.
Las vulnerabilidades de prioridad media abarcan una amplia gama de problemas de seguridad, incluidas las vulnerabilidades de secuencias de comandos de sitios entre sitios (XSS), como CVE-2025-42969 en SAP Netweaver Aplication Server ABAP y CVE-2025-42962 en SAP Business Warehouse.
Las vulnerabilidades transversales del directorio que afectan a SAPCAR (CVE-2025-42970) y los problemas de escalada de privilegios (CVE-2025-43001) demuestran aún más la naturaleza integral de esta actualización de seguridad.
La utilidad de SAPCAR, esencial para la gestión de paquetes de SAP, requiere atención entre las versiones 7.53 y 7.22Ext para abordar múltiples preocupaciones de seguridad, incluida la corrupción de memoria (CVE-2025-42971) y las operaciones de archivos inseguros.
CVEProductTyPeCVSS 3.1 Scorecve-2025-30012SAP Gestión de relaciones de proveedores (Cockpit de subasta en vivo) Vulnerabilidades múltiples10.0 (crítico) CVE-2025-42967SAP S/4HANA y SAP SCM (Propagación característica) Inyección de código 9.1 (crítico) CVE-2025-42980 NetworkInsecure Deserialization9.1
(Crítico) CVE-2025-42964SAP NetWeaver Enterprise Portal AdministrationIsSecure Deserialization9.1 (crítico) CVE-2025-42966SAP NETWEAVER (Servicio de archivo de datos XML) Inseciente Java Deserialización9.1 (crítico) CVE-2025-42963SAPSAP APLICACIÓN DE APLICACIÓN DE APLICACIÓN DE LOVA (LOGA) Deserialización9.1 (crítico) CVE-2025-42959SAP NetWeaver ABAP Servidor y ABAP Platformmissing Autenticación Check8.1 (High) CVE-2025-42953SAP NetWeaver Aplication Server para ABAPSing Authorization Check8.1 (Alto) CVE-2024-5367777 Objetos de negocios Business Intelligence Plataforma (CHMC). (Alto) CVE-2025-42952 SAP Business Warehouse y SAP complementan la autorización Basismissing Check7.7 (Alto) CVE-2025-42977SAP NetWeaver Visual ComposerDirectory Traversal7.6 (High) CVE-2025-43001SapCarmultiple Privilation 6.9 (mediano) CVE-2025-43001 S/4HANA (ENTRINACIÓN DE EVENTA ENTERPRISE) Falta Autorización Check6.7 (Medium) CVE-2025-42981SAP NetWeaver Aplicación Servidor ABAPMULTIPLE Vulnerabilidades6.1 (Medium) CVE-2025-42969SAP NetWeaver Aplicación Servidor ABAP y BAPAP STRIPT Warehouse (Business Explorer Web 3.5 Carging Animation) Scripting de sitios cruzados (XSS) 6.1 (Medium) CVE-2025-42985 SAP BusinessObjects Administrador de contenido Workbenchopen Redirect6.1 (Medium) CVE-2025-42970SapCardirtory Traversal5.8 (Medium) CVE-2025-4297979SAP Gui para Gui para Windowssapsap para Gui para Windowssap para Gui para Windows. Secret Management5.6 (Medium) CVE-2025-42973SAP Services de datos (Informe DQ) Scripting de sitios cruzados (XSS) 5.4 (Medium) CVE-2025-42968SAP NetWeaver (Módulo de función RFC) Falta Check5.0 (Medium) CVE-2025-42961SAP NetWeaver Aplicación Servidor para Autorización Autorización de Autorización de Autorización (Medio) CVE-2025-42960 SAP Business Warehouse y SAP BW/4HANA BEX ToolsMissing Check4.3 (Medium) CVE-2025-42986SAP NetWeaver y ABAP Platformmising Autorización de autorización de autorización (Medium) CVE-2025-31326 SAP BusinessObjects Business Intelligence Platform (Web Intelligence) HTML Inyection4.1 (Medium) CVE-2025-42965SAP BusinessObjects BI Platform BI Central Administration Aplications Aplicationserver Solicitud de Solicitud (SSRF) 4.1 (Medium) CVE-2025-42971SPROMEMARIO Corrupción Corrupción (Medio) CVE-2025-42978SAP Netweaver Aplicación Server Javains Secure Secure Guard Name VERIFICACIÓN para TLS Connections3.5 (bajo) CVE-2025-42954SAP NetWeaver Warehouse (Aplicación CCAW) denegación de servicio (DOS) 2.7 (bajo)
Requerido parches inmediatos
SAP ha enfatizado la importancia crítica de aplicar estos parches de seguridad de inmediato, particularmente dada la gravedad de las vulnerabilidades identificadas.
La compañía recomienda encarecidamente que los clientes visiten el portal de soporte y prioricen la implementación del parche para proteger su panorama de SAP de posibles infracciones de seguridad.
El amplio alcance de los productos afectados, que van desde componentes SAP_BASIS hasta aplicaciones especializadas como la plataforma de inteligencia empresarial de objetos comerciales, subraya la importancia de estrategias integrales de gestión de parches.
Las actualizaciones abordan las preocupaciones de seguridad fundamentales, incluidos los omitir la autenticación, las fallas de autorización y las vulnerabilidades de inyección que podrían comprometer entornos de SAP completos.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
