SAP publicó una actualización de seguridad integral el 12 de agosto de 2025, abordando 15 nuevas vulnerabilidades en su cartera de software empresarial, incluidas tres defectos de inyección de código crítico que representan riesgos significativos para las organizaciones en todo el mundo.
El día mensual del parche de seguridad también incluyó cuatro actualizaciones a las notas de seguridad publicadas anteriormente, lo que demuestra el compromiso continuo de SAP para abordar las amenazas emergentes en sus aplicaciones empresariales.
Control de llave
1. 3 Vulnerabilidades de inyección de código en S/4HANA y la transformación del paisaje permiten la ejecución de código remoto.
2. La baja complejidad de ataque con privilegios mínimos hace que estos defectos sean fácilmente explotables para el compromiso del sistema.
3. 15 Vulnerabilidades totales en plataformas NetWeaver, Business One y Core SAP que requieren parches inmediatos.
Entre los descubrimientos más preocupantes se encuentran las vulnerabilidades de inyección que afectan los sistemas Core SAP S/4HANA y la plataforma de transformación del paisaje SAP, cada una con una puntuación CVSS máxima de 9.9.
Estas vulnerabilidades críticas permiten la ejecución de código remoto con privilegios mínimos de los usuarios, lo que potencialmente permite a los atacantes comprometer los paisajes completos de SAP y acceder a datos comerciales confidenciales.
Vulnerabilidades de inyección de código crítico
Las tres vulnerabilidades críticas identificadas en este ciclo de parche representan algunos de los riesgos de seguridad más graves jamás documentados en los sistemas SAP.
CVE-2025-42957 afecta a SAP S/4HANA Cloud privado e instalaciones locales a través de las versiones S4Core 102 a 108, lo que permite a los atacantes autenticados ejecutar código arbitrario con privilegios elevados.
Del mismo modo, CVE-2025-42950 se dirige a la plataforma de análisis de transformación del paisaje SAP, que afecta múltiples versiones de DMIS de 2011_1_700 a 2020.
El tercer defecto crítico, CVE-2025-27429, representa una nota de seguridad actualizada publicada originalmente en abril de 2025, lo que indica que se pueden descubrir vectores de ataque adicionales o remediación incompleta desde el parche inicial.
Estas vulnerabilidades de inyección explotan los mecanismos de validación de entrada inadecuados dentro del entorno de tiempo de ejecución ABAP de SAP, lo que permite a los actores maliciosos inyectar y ejecutar código inautorizado a través de interfaces accesibles para la red.
La complejidad del ataque se califica como baja (AC: L), que requiere solo privilegios de bajo nivel (PR: L) y sin interacción del usuario (UI: N), lo que hace que estas vulnerabilidades sean particularmente atractivas para los ciberdelincuentes.
La designación del alcance de “Cambiado” (S: C) indica que la explotación exitosa podría afectar los recursos más allá del componente vulnerable, lo que puede conducir a un compromiso completo del sistema.
Autorización e defectos de inyección
Más allá de las vulnerabilidades de inyección crítica, este ciclo de parche aborda una amplia gama de debilidades de seguridad que abarcan la autorización de los evasiones, secuencias de comandos de sitios cruzados (XSS) y problemas de divulgación de información.
CVE-2025-42951 en SAP Business One SLD representa una vulnerabilidad de autorización rota de alta severidad con una puntuación CVSS de 8.8, afectando tanto las versiones B1_ON_HANA 10.0 y SAP-M-BO 10.0.
El ecosistema ABAP del servidor de aplicaciones de SAP Netweaver enfrenta múltiples desafíos de seguridad, incluidos CVE-2025-42976, que aborda múltiples vulnerabilidades en la funcionalidad de documentos BIC y varias vulnerabilidades de XSS que afectan diferentes componentes de la plataforma.
Las vulnerabilidades de severidad media incluyen fallas transversales de directorio en S/4Hana Bank Communication Management (CVE-2025-42946) y problemas de inyección HTML en el servidor de aplicaciones de Netweaver ABAP (CVE-2025-42945).
Las preocupaciones adicionales surgen de las verificaciones de autorización faltantes en varias versiones de SAP_BASIS y vulnerabilidades de divulgación de información en el componente del Gerente de Comunicación de Internet.
CVE IDTITLECVSS 3.1 ScoreSeverityCVE-2025-42957 Vulnerabilidad de inyección en SAP S/4HANA (nube privada o en los impris) 9.9CRITICACICALCVE-2025-42950Code inyección de la vulnerabilidad en la transformación del paisaje SAP (Plataforma de análisis) 9.9.9CRITICALCVE-2025-2742992992999299CODE Vulnerabilidad en la vulnerabilidad en el paisaje SAP S/SAP S/SAP S/Vulnerabilidad en la plataforma SAP S/4hhhan Vulnerabilidad en la vulnerabilidad de la vulnerabilidad de SAP S/4Hhan en vulnerabilidad en la vulnerabilidad de 4HANE. (Nube privada o en las instalaciones) 9.9CRITICICALCVE-2025-42951 Autorización frecuente en SAP Business One (SLD) 8.8HighCVE-2025-42976Multiple Vulnerabilidades en SAP NetWeaver Aplication Server (Documento BIC) 8.1HIGHCVE-2025-42975Multiple Vulnerabilidades en Vulnerabilidades de Aplicación SapaP (BiC (BiC (BiC (BIC (BIGHIGHCVE-2025-42975Multiple Vulnerabilidades en vulnerabilidades de redes de redes de redes) Documento) 8.1HighCVE-2025-42946Directory Vulnerabilidad transversal en SAP S/4HANA (Bank Communication Management) 6.9 MediumcVe-2025-42945HTML Vulnerabilidad de inyección en SAP NetWeaver Aplicación ABAP6.1MediumcVe-2025-42942 Scripting Cross-Site (XSSS) Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad) ABAP6.1MediumCVe-2025-42948 Cross-Site (XSS) Vulnerabilidad en SAP Netweaver ABAP Platform6.1MediumCve-2025-0059 Información de información Vulnerabilidad de divulgación en el servidor de aplicaciones de Aplicación SAP NetWeaver ABAP6.0MediumcVe-2025-42936 Missing Autorization Inter ABAP5.4MediumCVe-2025-23194 Missing Autenticación Verifique en SAP NetWeaver Enterprise Portal (Componente OBN) 5.3 MediumCve-2025-42949 Media de autorización de la autorización ABAP Vulnerabilidad en SAP S/4HANA (Factura de proveedores) 4.3 MediumcVe-2025-31331 Autorización Vulnerabilidad vulnerabilidad en SAP Netweaver4.3 MediumcVe-2025-42935 Información Vulnerabilidad de divulgación en SAP NetWeaver AS para la plataforma de SAP y la plataforma de colección de subspap4.1MediumCve-2025-4295555555555555555. Conector3.5lowcve-2025-42941 Vulnerabilidad de tabla de revisión en SAP Fiori (LaunchPad) 3.5Low
El notas de seguridad También aborde las vulnerabilidades del lado del cliente, incluido un problema de tabnabbing inverso en SAP Fiori LaunchPad (CVE-2025-42941) y la divulgación de información en SAP GUI para Windows (CVE-2025-42943).
Las organizaciones que ejecutan los sistemas SAP deben priorizar la implementación inmediata de estos parches de seguridad, particularmente para las tres vulnerabilidades de inyección de código crítico que podrían permitir el compromiso completo del sistema.
SAP recomienda que los clientes visiten su portal de soporte y apliquen parches en función de las calificaciones de prioridad para proteger sus paisajes empresariales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
