Dos nuevos avisos de seguridad
Índice
- Actualización de seguridad de SAP de abril de 2025
- Boletín de seguridad de Android: abril de 2025
Actualización de seguridad de SAP de abril de 2025
- SAP S/4HANA (Private Cloud), versiones: S4CORE 102, 103, 104, 105, 106, 107 y 108;
- SAP Landscape Transformation (Analysis Platform), versiones: DMIS 2011_1_700, 2011_1_710, 2011_1_730 y 2011_1_731;
- SAP Financial Consolidation, versión: FINANCE 1010;
- SAP NetWeaver Application Server ABAP, versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 y 9.14;
- SAP Commerce Cloud, versiones: HY_COM 2205 y COM_CLOUD 2211;
- SAP Capital Yield Tax Management, versiones: CYTERP 420_700, CYT 800, IBS 7.0 y CYT4HANA 100;
- SAP NetWeaver y ABAP Platform (Service Data Collection), versiones: ST-PI 2008_1_700, 2008_1_710 y 740.
SAP ha publicado su boletín mensual en el que se incluyen 20 vulnerabilidades: 3 de severidad crítica, 5 altas, 11 medias y 1 baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante inyectar código malicioso u omitir la autenticación.
El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.
Las vulnerabilidades de severidad criticas son de los siguientes tipos:
- inyección de código;
- almacenamiento de datos sensibles en un mecanismo sin control de acceso.
Se han asignado los identificadores CVE-2025-27429, CVE-2025-31330 y CVE-2025-31330 para las vulnerabilidades de severidad crítica.
La información detallada para el resto de vulnerabilidades, puede consultarse en las referencias.
Boletín de seguridad de Android: abril de 2025
- Android Open Source Project (AOSP): versiones 13, 14 y 15 (framework y system);
- Actualizaciones del sistema Google Play;
- Kernel;
- Componentes de Arm; Imagination Technologies, MediaTek y Qualcomm.
El boletín de Android, relativo al mes de abril de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como múltiples componentes, y que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.
El fabricante también informa de que dos de las vulnerabilidades pueden estar siendo explotadas, aunque de forma dirigida y limitada.
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlo.
Puede consultar cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En el caso de seguir con esta guía y no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
Las vulnerabilidades de severidad crítica se describen a continuación:
- Elevación de privilegios local o remota sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para el aprovechamiento. Se han asignado los identificadores CVE-2025-22429, CVE-2025-26416 y CVE-2025-22423 para estas vulnerabilidades.
- El subcomponente de código cerrado de Qualcomm puede realizar incorrectamente la verificación de PIN/contraseña, lo que puede derivar en una omisión de las limitaciones del usuario. Se ha asignado el identificador CVE-2024-45551 para esta vulnerabilidad.
Android también informa de que las siguientes vulnerabilidades de severidad alta y que afectan al kernel pueden estar siendo explotadas, aunque de forma dirigida y limitada, CVE-2024-53150 y CVE-2024-53197.
El resto de identificadores CVE pueden consultarse en las referencias.