Vulnerabilidades críticas en SAP 2025

Vulnerabilidad crítica 10/09

Introducción

SAP publicó parches de seguridad para corregir diversas vulnerabilidades, entre ellas tres fallos críticos en SAP Netweaver que podrían permitir la ejecución de código y la carga de archivos de manera arbitraria.

Análisis

CVE-2025-42958 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE-2025-42958 es un fallo de omisión de verificación de autenticación en aplicaciones SAP NetWeaver que operan sobre la plataforma IBM i-series (AS/400). Este fallo permite que usuarios que aparentemente ya poseen privilegios elevados, pero sin autorización adecuada, puedan acceder a funciones administrativas o privilegiadas sin pasar por los controles adecuados. Como consecuencia, estos usuarios podrían leer, modificar o eliminar información sensible, afectando gravemente la confidencialidad, integridad y disponibilidad del sistema.

Las versiones afectadas son KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.53, KERNEL 7.22, y 7.54.

Se recomienda instalar el parche publicado por SAP.

CVE-2025-42922 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2025-42922 está clasificada como un problema de operaciones de archivos inseguras. Un usuario autenticado con privilegios no administrativos podría explotar esta falla para subir un archivo arbitrario al servidor. Si ese archivo puede ejecutarse (como un JSP, WAR o similar), el atacante podría comprometer totalmente la confidencialidad, integridad y disponibilidad del sistema.

Esta vulnerabilidad afecta a SAP NetWeaver AS Java (Deploy Web Service), típicamente en versiones J2EE-APPS 7.50.

Se recomienda instalar el parche publicado por SAP.

CVE-2025-42944 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2025-42944 es una vulnerabilidad crítica en SAP NetWeaver, causada por una deserialización insegura en el módulo RMI-P4 (Remote Method Invocation). Esta falla permite que un atacante no autenticado envíe cargas maliciosas a un puerto expuesto, explotando la deserialización de objetos Java no confiables para ejecutar comandos arbitrarios en el sistema operativo subyacente.

Esta vulnerabilidad afecta a SAP NetWeaver (módulo RMI-P4), en entornos ServerCore 7.50..

Se recomienda instalar el parche publicado por SAP.

Referencias

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
• https://thehackernews.com/2025/09/sap-patches-critical-netweaver-cvss-up.html

Vulnerabilidades críticas 10/12

Introducción

Tres vulnerabilidades de SAP, CVE-2025-42880, CVE-2025-55754 y CVE-2025-42928, tienen el potencial de permitir la ejecución de código no autorizado, acceso a datos sensibles y comprometer la operación normal de sistemas empresariales. La explotación de estas vulnerabilidades podría derivar en accesos no autorizados, interrupción de servicios críticos y exposición de información sensible, subrayando la urgencia de aplicar medidas de mitigación y actualizaciones de seguridad. Este informe analiza cada vulnerabilidad, su impacto y las estrategias recomendadas para proteger los entornos afectados.

Análisis

CVE-2025-42880 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2025-42880 es una vulnerabilidad de inyección de código en SAP Solution Manager que afecta a la versión ST 720. El problema radica en una falta de saneamiento de entradas de usuario. Al permitir llamadas a módulos de función remotos sin validar correctamente los datos, un atacante autenticado con bajos privilegios puede inyectar código malicioso. Un atacante autenticado podría aprovechar la vulnerabilidad para ejecutar código arbitrario en el contexto de SAP Solution Manager.

Se recomienda aplicar cuanto antes la actualización para la versión vulnerable (ST 720) de SAP Solution Manager.

CVE-2025-55754 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2025-55754 afecta al servidor/contendor Apache Tomcat. Tomcat no neutraliza correctamente las secuencias de escape ANSI en los mensajes de log cuando se ejecuta en consola.Si Tomcat está presente en un sistema Windows con consola que soporte secuencias ANSI, un atacante podría enviar una URL que inyecte secuencias de escape en los logs de la consola. Esto podría permitir manipular la consola, el portapapelese incluso intentar engañar a un administrador para que ejecute un comando controlado por el atacante.  

Afecta a las siguientes versiones de Tomcat: 

• 9.0.40 hasta 9.0.108 (y versiones EOL anteriores de 8.5, como 8.5.60–8.5.100) 

• 10.1.0-M1 hasta 10.1.44

• 11.0.0-M1 hasta 11.0.10

Se recomienta actualizar Apache Tomcat o evitar ejecutar Tomcat en consola Windows con soporte ANSI.

CVE-2025-42928 -  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE‑2025‑42928 es una vulnerabilidad de deserialización insegura en SAP jConnect - SDK for ASE. Bajo ciertas condiciones, un usuario con privilegios elevados puede aprovechar la vulnerabilidad enviando datos especialmente elaborados, lo que permitiría la ejecución remota de código arbitrario. la explotación podría permitir afectar componentes más allá del módulo vulnerable, dependiendo de la configuración, lo que agrava el riesgo.

Se recomienda aplicar los parches o actualizaciones de SAP para jConnect o restringir el acceso a jConnect/SAP ASE.

Referencias

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-55754
• https://www.ccn-cert.cni.es/es/seguridad-al-dia/vulnerabilidades/view/48079.html
• https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-113/
• https://thehackernews.com/2025/12/fortinet-ivanti-and-sap-issue-urgent.html