Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de SAP de marzo de 2025

Fecha de publicación 11/03/2025
Identificador
INCIBE-2025-0130
Importancia
4 - Alta
Recursos Afectados
  • SAP Commerce (Swagger UI), versión: COM_CLOUD 2211;
  • SAP NetWeaver (generador de clases ABAP), versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 914;
  • SAP Commerce Cloud, versiones: HY-COM 2205 y COM-CLOUD 2211;
  • SAP Business One (capa de servicio), versiones. B1_ON_HANA 10.0 y SAP-M-BO 10.0;
  • SAP NetWeaver Application Server ABAP (aplicaciones basadas en SAP GUI para HTML), versiones: KRNL64UC 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 y KERNEL 9.14;
  • Servidor de aplicaciones SAP NetWeaver ABAP, versiones: SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 914;
  • SAP Business Warehouse (Process Chains), versiones: DW4CORE 100, DW4CORE 200, DW4CORE 300, DW4CORE 400 y DW4CORE 914; SAP_BW 730, SAP_BW 731, SAP_BW 740 y SAP_BW 750;
  • SAP NetWeaver Application Server Java, versión: AJAX-RUNTIME 7.50;
  • SAP BusinessObjects Business Intelligence Platform (Web Intelligence), versión: ENTERPRISE 430, 2025;
  • SAP NetWeaver Enterprise Portal (componente OBN), versión: EP-RUNTIME 7.50;
  • SAP Web Dispatcher e Internet Communication Manager, versiones: KRNL64UC 7.53, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.89, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 y KERNEL 9.14;
  • SAP BusinessObjects Business Intelligence Platform, versiones: ENTERPRISE 430, 2025, ENTERPRISECLIENTTOOLS 430, 2025;
  • SAP NetWeaver Enterprise Portal (componente OBN), versiones: EP-RUNTIME 7.50;
  • SAP S/4HANA (Manage Bank Statements), versiones: S4CORE 107 y S4CORE 108;
  • SAP S/4HANA (RBD), versiones: S4CORE 102, 103, 104, 105, 106, 107, 108, EA-FINSERV 618 y EA-FINSERV 800;
  • Aplicaciones SAP Fiori (biblioteca de publicaciones), versiones: S4CORE 103, 104, 105, 106, 107 y 108;
  • SAP Just In Time, versiones: S4CORE 105, 106, 107 y 108;
  • SAP Business Objects Business Intelligence Platform, versiones: ENTERPRISE 430, 2025 y 2027;
  • SAP Commerce Cloud y SAP Datahub, versiones: HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, DHUB_CLOUD 2211;
  • SAP CRM y SAP S/4HANA (Interaction Center), versiones: S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800 y 801;
  • SAP Just In Time, versiones: S4CORE 102, 103, 104, 105, 106, 107 y ECC-DIMP 618;
  • SAP Electronic Invoicing para Brazil (eDocument Cockpit), versiones: SAP_APPL 617, 618, S4CORE 102, 103, 104, 105, 106, 107 y 108.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14 medias y 4 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante, no autenticado, inyectar código malicioso desde fuentes remotas u obtener niveles de acceso más altos de los que debería

Solución

SAP recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad alta son de los siguientes tipos:

  • vulnerabilidad Cross-Site Scripting (XSS);
  • ausencia de comprobación en la autorización;
  • vulnerabilidad en Apache Tomcat que afecta a SAP Commerce Cloud.

Se han asignado los identificadores CVE-2025-27434, CVE-2025-26661 y CVE-2024-38286 para las vulnerabilidades de severidad alta.

La información detallada para las vulnerabilidades de severidad media y baja, puede consultarse en las referencias.