• Saltar a la navegación principal
  • Saltar al contenido principal
S2GRUPO

Empresa Española Especializada en Ciberseguridad

  • Empresa
    • Sobre nosotros
    • Equipo directivo
    • RSE
    • Reconocimientos
  • Especialización
    • OT Industrial
    • IT
    • OT Salud
  • Soluciones
  • I+D+i
    • I+D
    • S2X
  • Talento
  • Noticias y publicaciones
  • Contacto
  • facebook
  • twitter
  • instagram
  • linkedin
|
es arrow down
  • en
© 2025 S2 Grupo
Alertas

Vulnerabilidades críticas en SAP 2025

10 Sep 2025

Vulnerabilidad crítica 10/09

Introducción

SAP publicó parches de seguridad para corregir diversas vulnerabilidades, entre ellas tres fallos críticos en SAP Netweaver que podrían permitir la ejecución de código y la carga de archivos de manera arbitraria.

Análisis

CVE-2025-42958 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE-2025-42958 es un fallo de omisión de verificación de autenticación en aplicaciones SAP NetWeaver que operan sobre la plataforma IBM i-series (AS/400). Este fallo permite que usuarios que aparentemente ya poseen privilegios elevados, pero sin autorización adecuada, puedan acceder a funciones administrativas o privilegiadas sin pasar por los controles adecuados. Como consecuencia, estos usuarios podrían leer, modificar o eliminar información sensible, afectando gravemente la confidencialidad, integridad y disponibilidad del sistema.

Las versiones afectadas son KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.53, KERNEL 7.22, y 7.54.

Se recomienda instalar el parche publicado por SAP.

CVE-2025-42922 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2025-42922 está clasificada como un problema de operaciones de archivos inseguras. Un usuario autenticado con privilegios no administrativos podría explotar esta falla para subir un archivo arbitrario al servidor. Si ese archivo puede ejecutarse (como un JSP, WAR o similar), el atacante podría comprometer totalmente la confidencialidad, integridad y disponibilidad del sistema.

Esta vulnerabilidad afecta a SAP NetWeaver AS Java (Deploy Web Service), típicamente en versiones J2EE-APPS 7.50.

Se recomienda instalar el parche publicado por SAP.

CVE-2025-42944 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2025-42944 es una vulnerabilidad crítica en SAP NetWeaver, causada por una deserialización insegura en el módulo RMI-P4 (Remote Method Invocation). Esta falla permite que un atacante no autenticado envíe cargas maliciosas a un puerto expuesto, explotando la deserialización de objetos Java no confiables para ejecutar comandos arbitrarios en el sistema operativo subyacente.

Esta vulnerabilidad afecta a SAP NetWeaver (módulo RMI-P4), en entornos ServerCore 7.50..

Se recomienda instalar el parche publicado por SAP.

Referencias

  • https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html
  • https://thehackernews.com/2025/09/sap-patches-critical-netweaver-cvss-up.html

  • Facebook
  • Twitter
  • LinkedIn
Artículos relacionados
Vulnerabilidades críticas en Apple 2025
Leer más →
Vulnerabilidades críticas en Samsung 2025
Leer más →
Vulnerabilidades críticas en SAP/4HANA 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2GRUPO
© 2025 S2 Grupo
  • Central de prensa
  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
  • Canal Ético