Actualización de seguridad de SAP de octubre de 2025
- NetWeaver AS Java, SERVERCORE 7.50.
- Print Service, SAPSPRINT 8.00 y 8.10.
- Supplier Relationship Management, SRMNXP01 100 y 150.
- Commerce Cloud, HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21.
- Data Hub Integration Suite, CX_DATAHUB_INT_PACK 2205.
- Application Server for ABAP, SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 y 816.
- NetWeaver AS ABAP y ABAP Platform, KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15 y 9.16.
- S/4HANA, S4CORE 104, 105, 106, 107, 108 y 109.
- Financial Service Claims Management, INSURANCE 803, 804, 805, 806, S4CEXT 107, 108 y 109.
- BusinessObjects, ENTERPRISE 430, 2025 y 2027.
- Cloud Appliance Library Appliances, TITANIUM_WEBAPP 4.0.
SAP ha publicado su boletín mensual en el que se incluyen 13 vulnerabilidades: 3 de severidad crítica, 2 de severidad alta, 6 de severidad media y 2 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de deserialización insegura, recorrido de directorios o archivos sin restricciones.
El fabricante recomienda visitar el portal de soporte y aplicar los parches de forma prioritaria para proteger los entorno SAP.
Las vulnerabilidades de severidad crítica son:
- CVE-2025-42944: vulnerabilidad de deserialización en SAP NetWeaver. Un atacante no autenticado podría explotar el sistema a través del módulo RMI-P4 enviando una carga maliciosa a un puerto abierto. La deserialización de estos objetos Java no confiables podría provocar la ejecución arbitraria de comandos del sistema operativo, lo que afectaría gravemente la confidencialidad, integridad y disponibilidad de la aplicación.
- CVE-2025-42937: el Servicio de Impresión SAP (SAPSprint) no realiza una validación adecuada de la información de ruta proporcionada por los usuarios. Un atacante, no autenticado, podría acceder al directorio principal y sobrescribir archivos del sistema, lo que afectaría gravemente la confidencialidad, la integridad y la disponibilidad de la aplicación.
- CVE-2025-42910: debido a la falta de verificación del tipo o contenido del archivo, SAP Supplier Relationship Management permite a un atacante autenticado cargar archivos arbitrarios. Estos archivos podrían incluir ejecutables que el usuario podría descargar y ejecutar, y que podrían albergar malware. Si se explota con éxito, un atacante podría causar un gran impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.