Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de agosto de 2025

Fecha de publicación 12/08/2025
Identificador
INCIBE-2025-0439
Importancia
5 - Crítica
Recursos Afectados
  • SAP S/4HANA (Private Cloud or On-Premise), versiones S4CORE 102, 103, 104, 105, 106, 107, 108.
  • SAP Landscape Transformation (Analysis Platform), versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020.
  • SAP Business One (SLD), versiones B1_ON_HANA 10.0, SAP-M-BO 10.0.
  • SAP NetWeaver Application Server ABAP (BIC Document), versiones S4COREOP 104, 105, 106, 107, 108, SEM-BW 600, 602, 603, 604, 605, 634, 736, 746, 747, 748.
  • SAP S/4HANA (Bank Communication Management), versiones SAP_APPL 606, SAP_FIN 617, 618, 720, 730, S4CORE 102, 103, 104, 105, 106, 107, 108.
  • SAP NetWeaver Application Server ABAP, versiones KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93.
  • SAP NetWeaver Application Server para ABAP, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 914, SAP_BASIS 916.
  • SAP NetWeaver ABAP Platform, versiones S4CRM 100, 200, 204, 205, 206, S4CEXT 107, 108, 109, BBPCRM 713, 714.
  • SAP NetWeaver Application Server para ABAP, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • ABAP Platform, versiones SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 916.
  • SAP GUI para Windows, versión BC-FES-GUI 8.00.
  • SAP S/4HANA (Supplier invoice), versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • SAP NetWeaver AS para ABAP y ABAP Platform (Internet Communication Manager), versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15, 9.16.
  • SAP Cloud Connector, versión SAP_CLOUD_CONNECTOR 2.0.
  • SAP Fiori (Launchpad), versión SAP_UI 754.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 15 vulnerabilidades: 2 de severidad crítica, 2 de severidad alta, 9 de severidad media y 2 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Scripting (XSS), falta de control de acceso, falta de comprobación de autorización, inyección de HTML, inyección de código, inyección de salto de líneas, revelación de información, salto de directorios y tabnabbing inverso.

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son del siguiente tipo:

  • inyección de código

Se han asignado los identificadores CVE-2025-42957 y CVE-2025-42950 para las vulnerabilidadesde severidad crítica.

CVE
Explotación
No
Fabricante
sap
Identificador CVE
CVE-2025-42950
Severidad
Crítica
Explotación
No
Fabricante
sap
Identificador CVE
CVE-2025-42957
Severidad
Crítica
Listado de referencias
SAP Security Patch Day - August 2025
Etiquetas