SAP ha lanzado soluciones de seguridad para 13 nuevos problemas de seguridad , incluido un refuerzo adicional para un error de máxima gravedad en SAP NetWeaver AS Java que podría provocar la ejecución arbitraria de comandos.
La vulnerabilidad, rastreada como CVE-2025-42944, tiene una puntuación CVSS de 10,0. Se ha descrito como un caso de deserialización insegura.
«Debido a una vulnerabilidad de deserialización en SAP NetWeaver, un atacante no autenticado podría explotar el sistema a través del módulo RMI-P4 enviando una carga maliciosa a un puerto abierto», según un descripción de la bandera en CVE.org.
«La deserialización de estos objetos Java que no son de confianza podría provocar la ejecución arbitraria de comandos del sistema operativo, lo que tendría un gran impacto en la confidencialidad, integridad y disponibilidad de la aplicación».
Si bien la vulnerabilidad era dirigido por primera vez de SAP el mes pasado, la empresa de seguridad Onapsis dijo que la última solución proporciona salvaguardias adicionales para protegerse contra el riesgo que representa la deserialización.
«La capa adicional de protección se basa en la implementación de un filtro para toda la JVM (jdk.SerialFilter) que evita que las clases dedicadas se deserialicen», apuntado . «La lista de clases y paquetes recomendados para bloquear se definió en colaboración con la ORL y se divide en una sección obligatoria y una sección opcional».
Otra vulnerabilidad crítica destacable es CVE-2025-42937 (puntuación CVSS: 9,8), una falla en el recorrido de directorios en SAP Print Service que se produce como resultado de una validación de ruta insuficiente, lo que permite a un atacante no autenticado acceder al directorio principal y sobrescribir los archivos del sistema.
La tercera falla crítica corregida por SAP se refiere a un error de carga de archivos sin restricciones en SAP Supplier Relationship Management ( CVE-2025-42910 , puntuación CVSS: 9.0) que podrían permitir a un atacante cargar archivos arbitrarios, incluidos ejecutables malintencionados, que podrían afectar a la confidencialidad, la integridad y la disponibilidad de la aplicación.
Si bien no hay evidencia de que estas fallas se exploten de manera espontánea, es esencial que los usuarios apliquen los últimos parches y mitigaciones lo antes posible para evitar posibles amenazas.
«La deserialización sigue siendo el principal riesgo», Jonathan Stross, de Pathlock dijo . «La cadena P4/RMI sigue generando una exposición crítica en AS Java, y SAP ha creado una solución directa y una configuración de JVM reforzada para reducir el uso indebido de dispositivos».