SAP tiene publicado actualizaciones de seguridad para corregir dos fallos de seguridad críticos que podrían aprovecharse para lograr la ejecución arbitraria de código en los sistemas afectados.

Las vulnerabilidades en cuestión se enumeran a continuación -

  • CVE-2019-17571 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO)
  • CVE-2026-27685 (Puntuación CVSS: 9.1): una vulnerabilidad de deserialización insegura en la administración del portal empresarial SAP NetWeaver

«La aplicación utiliza un artefacto desactualizado de Apache Log4j 1.2.17 que es vulnerable al CVE-2019-17571», afirma la empresa de seguridad de SAP Onapsis dijo . «Permite a un atacante sin privilegios ejecutar código arbitrario de forma remota en el servidor, lo que provoca un gran impacto en la confidencialidad, la integridad y la disponibilidad de la aplicación».

adsense

El CVE-2026-27685, por otro lado, se debe a una validación faltante o insuficiente durante la deserialización del contenido subido, lo que podría permitir a un atacante cargar contenido malintencionado o que no sea de confianza.

«Solo el hecho de que un atacante necesite altos privilegios para que un exploit tenga éxito evita que la vulnerabilidad se etiquete con una puntuación CVSS de 10», añadió Onapsis.

La revelación se produce cuando Microsoft envió parches para 84 vulnerabilidades en todos los productos, incluidas docenas de fallas en la escalación de privilegios y la ejecución remota de código.

El martes, Adobe también anunció parches para 80 vulnerabilidades , cuatro de los cuales son fallos críticos que afectan a Adobe Commerce y Magento Open Source y que podrían provocar la escalada de privilegios y la omisión de las funciones de seguridad. Por otra parte, solucionó cinco vulnerabilidades críticas en Adobe Illustrator que podían facilitar la ejecución de código arbitrario.

Por otra parte, Hewlett Packard Enterprise solucionó cinco deficiencias en Aruba Networking AOS-CX. La falla más grave es la CVE-2026-23813 (puntuación CVSS: 9,8), un error de autenticación que afecta a la interfaz de administración.

«Se ha identificado una vulnerabilidad en la interfaz de administración basada en la web de los conmutadores AOS-CX que podría permitir que un actor remoto no autenticado eluda los controles de autenticación existentes», dijo HPE dijo . «En algunos casos, esto podría permitir restablecer la contraseña de administrador».

«La explotación de esta vulnerabilidad de Aruba puede dar a los atacantes el control total de los dispositivos de red AOS-CX y la capacidad de comprometer un sistema completo sin ser detectados», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.

enlaces

«Un compromiso exitoso podría provocar la interrupción de las comunicaciones de red o la erosión de la integridad de los servicios empresariales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red son cada vez más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, las organizaciones corren un riesgo significativo».

Parches de software de otros proveedores

Otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, que incluyen:

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.