SAP lanzó el martes actualizaciones de seguridad para abordar múltiples fallas de seguridad, incluidas tres vulnerabilidades críticas en SAP NetWeaver que podrían dar lugar a la ejecución del código y la carga arbitraria.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-42944 (Puntuación CVSS: 10.0): una vulnerabilidad de deserialización en SAP Netweaver que podría permitir que un atacante no autenticado envíe una carga útil maliciosa a un puerto abierto a través del módulo RMI -P4, lo que resulta en la ejecución del comando del sistema operativo
- CVE-2025-42922 (Puntuación CVSS: 9.9): una vulnerabilidad insegura de operaciones de archivo en SAP Netweaver como Java que podría permitir que un atacante se autenticara como un usuario no administrativo cargar un archivo arbitrario
- CVE-2025-42958 (Puntuación CVSS: 9.1): una vulnerabilidad de verificación de autenticación faltante en la aplicación SAP NetWeaver en la serie IBM I que podrían permitir a los usuarios no autorizados altamente privilegiados leer, modificar o eliminar información confidencial, así como funcionalidades administrativas o privilegiadas.
«(CVE-2025-42944) permite que un atacante no autenticado ejecute comandos arbitrarios del sistema operativo enviando una carga útil maliciosa a un puerto abierto», dijo Onapsis. «Una exploit exitosa puede conducir a un compromiso total de la aplicación. Como una solución temporal, los clientes deben agregar filtrado de puerto P4 a nivel ICM para evitar que los hosts desconocidos se conecten al puerto P4».
También abordado por SAP se encuentra un error de validación de entrada que faltan en severidad en SAP S/4HANA (CVE-2025-42916, puntaje CVSS: 8.1) que podría permitir que un atacante con acceso de alto privilegio a los informes ABAP elimine el contenido de las tablas de base de datos arbitrarias, si las tablas no están protegidas por un grupo de autorización.
Los parches llegan días después de que SecurityBridge y Pathlock revelaron que un defecto de seguridad crítico en SAP S/4HANA que fue fijado por la compañía el mes pasado (CVE-2025-42957, puntaje CVSS: 9.9) ha sido de explotación activa en la naturaleza.
Si bien no hay evidencia de que los problemas recién revelados hayan sido armados por malos actores, es esencial que los usuarios se muevan para aplicar las actualizaciones necesarias lo antes posible para una protección óptima.
