Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de noviembre de 2025

Fecha de publicación 12/11/2025
Identificador
INCIBE-2025-0628
Importancia
5 - Crítica
Recursos Afectados
  • SQL Anywhere Monitor (Non-Gui), SYBASE_SQL_ANYWHERE_SERVER 17.0;
  • SAP Solution Manager, ST 720;
  • SAP CommonCryptoLib, CRYPTOLIB 8;
  • SAP HANA JDBC Client, HDB_CLIENT 2.0;
  • SAP Business Connector, SAP BC 4.8;
  • SAP NetWeaver Enterprise Portal, EP-BASIS 7.50, EP-RUNTIME 7.50;
  • SAP S/4HANA landscape (SAP E-Recruiting BSP), S4ERECRT 100, 200, ERECRUIT 600, 603, 604, 605, 606, 616, 617, 800, 801, 802;
  • SAP HANA 2.0 (hdbrss), HDB 2.00;
  • SAP GUI para Windows, BC-FES-GUI 8.00, 8.10;
  • SAP Starter Solution (PL SAFT), SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, S4CORE 100, 101, 102, 103, 104;
  • SAP NetWeaver Application Server Java, ENGINEAPI 7.50, EP-BASIS 7.50;
  • SAP Business One (SLD), B1_ON_HANA 10.0, SAP-M-BO 10.0;
  • SAP S4CORE (Manage Journal Entries), S4CORE 104, 105, 106, 107, 108;
  • SAP NetWeaver Application Server para ABAP, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816;
  • SAP NetWeaver Application Server para ABAP (Migration Workbench), SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 17 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta, 14 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir, entre otras acciones, el control total del sistema o la posibilidad de ejecutar código o comandos del SO arbitrarios.

Solución

El fabricante recomienda a sus clientes que visiten el portal de soporte y apliquen los parches de forma prioritaria para proteger sus entorno SAP.

Detalle
  • CVE-2025-42890: SQL Anywhere Monitor (Non-GUI) tiene almacenadas credenciales en el código, lo que expone los recursos o la funcionalidad a usuarios no deseados y proporciona a los atacantes la posibilidad de ejecutar código arbitrario. Esto podría afectar gravemente a la confidencialidad, integridad y disponibilidad del sistema.
  • CVE-2025-42887: Debido a que no se depuran las entradas, SAP Solution Manager permite a un atacante autenticado insertar código malicioso cuando se realiza una llamada a un módulo de función habilitado en remoto. Esto podría conceder a un atacante el control total del sistema, lo que tiene un gran impactico en la confidencialidad, integridad y disponibilidad del sistema.

El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

CVE
Explotación
No
Fabricante
sap
Identificador CVE
CVE-2025-42890
Severidad
Crítica
Explotación
No
Explotación
No
Fabricante
sap
Identificador CVE
CVE-2025-42887
Severidad
Crítica
Listado de referencias
SAP - SAP Security Patch Day - November 2025
Onapsis - SAP Security Notes: November 2025 Patch Day
Etiquetas