Vulnerabilidad en SAP NetWeaver Application Server Java (CVE-2026-23686)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-113 Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)

Fecha de publicación:

10/02/2026

Última modificación:

17/02/2026

Descripción

Debido a una vulnerabilidad de inyección CRLF en SAP NetWeaver Servidor de Aplicaciones Java, un atacante autenticado con acceso administrativo podría enviar contenido especialmente diseñado a la aplicación. Si es procesado por la aplicación, este contenido permite la inyección de entradas no confiables en la configuración generada, lo que permite la manipulación de configuraciones controladas por la aplicación. La explotación exitosa conlleva a un bajo impacto en la integridad, mientras que la confidencialidad y la disponibilidad no se ven afectadas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.40 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno