Vulnerabilidades y Avisos de Seguridad: Boletín de seguridad de SAP: julio de 2026

Boletín de seguridad de SAP: julio de 2026

Recursos Afectados
  • SAP NetWeaver Application Server ABAP, versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53. 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19, 9.20.
  • SAP Approuter, versión SAP Approuter node.js package < 20.10.0.
  • SAP Commerce Cloud, versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAP Integration Suite (Edge Integration Cell), versión SAP Integration Suite (Edge Integration Cell) < 8.43.11.
  • SAProuter on Microsoft Windows, versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, SAP_ROUTER 7.53, 7.54, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.17, 9.18.
  • SAP NetWeaver Application Server Java(Configuration Wizard), versión LMCTC 7.50.
  • SAP Approuter, versión SAP Approuter node.js package < 21.2.0.
  • SAP Commerce Cloud, versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAP Change and Transport System Attach Tool (ctsattach), versión CTS_UPLOAD_CLT 1.
  • SAP NetWeaver Enterprise Portal, versión EP-RUNTIME 7.50.
  • ui5/webcomponents-base, versión ui5 webcomponents-base < 2.21.0.
  • SAP S/4HANA Project Management (PPM-PRO), versiones SAP_APPL 600, 602, 603, 604, 605, 606, 617, 618, S4CORE 102, 103, 104, 105, 106, 107, 108, CPRXRPM 400, 450_700, 500_702, 610_740.
  • SAP NetWeaver Application Server ABAP (applications based on Business Server Pages), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918, SAP_BASIS 919, SAP_BASIS 920.
  • SAP S/4HANA (Draft operation), versión S4CORE 108.
  • SAP S/4 HANA (Create Single Payment), versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • SAP CRM (WebClient UI), versiones S4FND 104, 105, 106.
  • SAP HANA Extended Application Services classic model (User Self Service), versión HDB 2.00.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 17 vulnerabilidades: 3 de severidad crítica, 6 de severidad alta, 7 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Allowlist Bypass, Cross-Site Scripting (XSS), DLL hijacking, HTTP Request Smuggling, corrupción de memoria, credenciales de ejemplo inseguras, falta de comprobación de autorización, mala configuración de seguridad, revelación de información, vulnerabilidad de ejecución remota de código, vulnerabilidad de inyección SQL, vulnerabilidad de tipo Open Redirect y vulnerabilidades múltiples.
 

Identificador
INCIBE-2026-486

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle
  • CVE-2026-44747: el servidor de aplicaciones ABAP de SAP NetWeaver permite que un atacante autenticado aproveche errores lógicos en la gestión de memoria para provocar una corrupción de memoria que podría derivar en acceso no autorizado a datos, modificación de los mismos o indisponibilidad del sistema. Esto tiene un alto impacto en la confidencialidad, la integridad y la disponibilidad de la aplicación.
  • CVE-2026-27690: Debido a una vulnerabilidad de manipulación de solicitudes HTTP en SAP Approuter, un atacante no autenticado podría enviar una solicitud HTTP especialmente diseñada que provoque una desincronización entre la solicitud y la respuesta. Esto podría exponer las respuestas de los usuarios y dejar el sistema inaccesible, lo que tendría un grave impacto en la confidencialidad y la disponibilidad.
  • CVE-2026-44761: SAP Commerce Cloud podría conservar un cliente OAuth2 de muestra con credenciales documentadas públicamente, provenientes de la configuración de ejemplo proporcionada en la documentación del Portal de Ayuda de SAP. Si no se modifica, un atacante no autenticado podría usar estas credenciales para obtener un token de acceso válido e invocar ciertas API para leer y modificar datos. Una explotación exitosa tendría un alto impacto en la confidencialidad e integridad, sin afectar la disponibilidad.

Los códigos CVE asignados a las vulnerabilidades no críticas o altas reportadas pueden consultarse en las referencias.

5 – Crítica
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-44747 Crítica No SAP
CVE-2026-27690 Crítica No SAP
CVE-2026-44761 Crítica No SAP

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.