SAP el martes publicado actualizaciones de seguridad para corregir múltiples fallas de seguridad, incluidas tres vulnerabilidades críticas en SAP Netweaver que podrían provocar la ejecución de código y la carga de archivos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-42944 (puntuación CVSS: 10,0): una vulnerabilidad de deserialización en SAP NetWeaver que podría permitir a un atacante no autenticado enviar una carga maliciosa a un puerto abierto a través del Módulo RMI-P4 , lo que resulta en la ejecución de comandos del sistema operativo
- CVE-2025-42922 (Puntuación CVSS: 9,9): una vulnerabilidad de operaciones de archivos inseguras en SAP NetWeaver AS Java que podría permitir a un atacante autenticado como usuario no administrativo cargar un archivo arbitrario
- CVE-2025-42958 (Puntuación CVSS: 9.1): falta una vulnerabilidad de verificación de autenticación en la aplicación SAP NetWeaver de la serie i de IBM que podría permitir a usuarios no autorizados con altos privilegios leer, modificar o eliminar información confidencial, así como acceder a funcionalidades administrativas o privilegiadas
«[CVE-2025-42944] permite a un atacante no autenticado ejecutar comandos arbitrarios del sistema operativo al enviar una carga maliciosa a un puerto abierto», dijo Onapsis dijo . «Un exploit exitoso puede comprometer por completo la aplicación. Como solución temporal, los clientes deberían añadir el filtrado del puerto P4 a nivel del ICM para evitar que hosts desconocidos se conecten al puerto P4».
SAP también ha solucionado un error de validación de entradas faltante de alta gravedad en SAP S/4HANA ( CVE-2025-42916 , puntuación CVSS: 8.1) que podría permitir a un atacante con altos privilegios de acceso a los informes ABAP eliminar el contenido de tablas de bases de datos arbitrarias, en caso de que las tablas no estuvieran protegidas por un grupo de autorización.
Los parches llegan días después de SecurityBridge y Pathlock divulgado que un defecto de seguridad crítico en SAP S/4HANA que la empresa solucionó el mes pasado (CVE-2025-42957, puntuación CVSS: 9,9) ha sido objeto de explotación activa en estado salvaje.
Si bien no hay evidencia de que los problemas recientemente revelados hayan sido utilizados como armas por parte de personas malintencionadas, es esencial que los usuarios apliquen las actualizaciones necesarias lo antes posible para una protección óptima.