SAP ha solucionado dos vulnerabilidades críticas que afectan al servidor de aplicaciones web NetWeaver y que podrían explotarse para elevar privilegios y acceder a información restringida.
Como parte del Día del parche de seguridad de enero, el proveedor también lanzó actualizaciones para otros productos para solucionar 12 problemas adicionales clasificados como de gravedad media y alta.
“SAP recomienda encarecidamente que el cliente visite el Portal de soportey aplica parches como prioridad para proteger su entorno SAP”, se lee en el comunicado de prensa de la empresa. boletín de seguridad.
Los cuatro problemas de seguridad más graves solucionados por SAP este mes se resumen a continuación:
- CVE-2025-0070, gravedad crítica, puntuación 9,9): La autenticación inadecuada en SAP NetWeaver Application Server para ABAP y la plataforma ABAP permite que un atacante autenticado aproveche los controles de autenticación inadecuados, lo que genera una escalada de privilegios y un impacto significativo en la confidencialidad, la integridad y la disponibilidad.
- CVE-2025-0066, gravedad crítica, puntuación 9,9: La vulnerabilidad de divulgación de información en SAP NetWeaver AS para ABAP y la plataforma ABAP (Internet Communication Framework) se produce debido a controles de acceso débiles, lo que permite a un atacante acceder a información restringida y compromete significativamente la confidencialidad, integridad y disponibilidad.
- CVE-2025-0063, gravedad alta, puntuación 8,8: La vulnerabilidad de inyección SQL en SAP NetWeaver AS ABAP y la plataforma ABAP se debe a una falta de comprobaciones de autorización para ciertos módulos de funciones RFC. Esto permite que un atacante con privilegios básicos comprometa una base de datos Informix, lo que resulta en una pérdida total de confidencialidad, integridad y disponibilidad.
- CVE-2025-0061, gravedad alta, puntuación 8,7: Múltiples vulnerabilidades en SAP BusinessObjects Business Intelligence Platform permiten que un atacante no autenticado realice un secuestro de sesión a través de la red debido a un problema de divulgación de información. Esto permite al atacante acceder y modificar todos los datos de la aplicación.
Impacto y recomendaciones
Los productos SAP están dirigidos a grandes empresas en industrias como manufactura, finanzas, comercio minorista, atención médica y gobierno, cumpliendo roles críticos en la gestión de operaciones comerciales y relaciones con los clientes.
SAP NetWeaver es una plataforma central para ejecutar aplicaciones ABAP y permitir una comunicación segura a través de Internet Communication Framework. Normalmente lo utilizan administradores de TI, desarrolladores y consultores en empresas que administran sistemas ERP para finanzas, recursos humanos y cadena de suministro.
SAP BusinessObjects es una plataforma de visualización, análisis e informes de datos utilizada por analistas, tomadores de decisiones y equipos de TI para obtener conocimientos y respaldar decisiones estratégicas.
En el pasado, los piratas informáticos se han dirigido a productos SAP que no se habían actualizado para corregir vulnerabilidades conocidas o que estaban mal configurados, exponiendo las redes a infracciones.
El editor alemán recomienda encarecidamente que los clientes apliquen los últimos parches disponibles para proteger su entorno SAP.