Vulnerabilidades críticas en SAP/4HANA 2025
Vulnerabilidad crítica 8 de septiembre
Introducción
CVE-2025-42957 es un fallo de inyección de código ABAP explotable a través de módulos RFC (Remote Function Call). El problema permite a un atacante introducir y ejecutar código arbitrario dentro del sistema, incluso eludiendo las verificaciones de autorización.
Análisis
CVE-2025-42957 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9
CVE-2025-42957 ha sido detectada siendo explotada activamente en entornos reales. Investigadores de empresas de ciberseguridad detectaron intentos de abuso en clientes que no habían aplicado las actualizaciones. Para esta vulnerabilidad, basta con que el atacante disponga de una cuenta de usuario con privilegios bajos, lo que multiplica el riesgo, ya que no se requiere interacción del usuario ni un nivel de acceso avanzado.
Versiones afectadas
Versiones de S4CORE (102 a 108), presentes en SAP S/4HANA On-Premise y en SAP S/4HANA Private Cloud.
Workarounds
No hay workarounds para esta vulnerabilidad.