Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualizaciones de seguridad de febrero de 2026 en productos de SAP

Fecha de publicación 10/02/2026
Identificador
INCIBE-2026-105
Importancia
5 - Crítica
Recursos Afectados
  • SAP CRM y SAP S/4HANA, en las versiones: S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800 y 801;
  • SAP NetWeaver Application Server ABAP y plataforma ABAP, en las versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 y 9.19;
  • SAP NetWeaver AS ABAP y plataforma ABAP, en las versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917 y SAP_BASIS 918;
  • SAP Supply Chain Management, en las versiones: SCMAPO 713, 714, SCM 700, 701, 702 y 712;
  • Complemento de herramientas de solución SAP (ST-PI), en las versiones: ST-PI 2008_1_700, 2008_1_710, 740 y 758;
  • SAP BusinessObjects BI Platform, en las versiones: ENTERPRISE 430, 2025 y 2027;
  • SAP Commerce Cloud, en las versiones: HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21;
  • SAP BusinessObjects Business Intelligence Platform, en las versiones: ENTERPRISE 430, 2025 y 2027;
  • SAP NetWeaver Application Server ABAP y SAP S/4HANA, en las versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816;
  • SAP Document Management System, en las versiones: SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605 y 606, 617;
  • Aplicación Business Server Pages (TAF_APPLAUNCHER), en las versiones: ST-PI 2008_1_700, 2008_1_710, 740 y 758;
  • SAP NetWeaver Application Server ABAP (aplicaciones basadas en SAP GUI para HTML), en las versiones: KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12 y 9.14;
  • SAP Commerce Cloud, en las versiones: HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21;
  • SAP Business One (archivos de volcado de memoria del cliente B1), en las versiones: B1_ON_HANA 10.0 y SAP-M-BO 10.0;
  • SAP Business Workflow, en las versiones: SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816;
  • Sistemas SAP basados ​​en ABAP, en las versiones: ST-PI 2005_1_700, 2008_1_710, 740 y 758;
  • SAP BusinessObjects Enterprise (Consola de administración central), en las versiones: ENTERPRISE 430, 2025 y 2027;
  • SAP NetWeaver (servicio JMS), en la versión: J2EE-FRMW 7.50;
  • Aplicación SAP Fiori, en las versiones: S4CORE 102, 103, 104, 105, 106 y 107;
  • Complemento de herramientas de soporte de SAP, en las versiones: ST-PI 2008_1_700, 2008_1_710, 740 y 758;
  • SAP S/4HANA Defense & Security, en las versiones: EA-DFPS 600, 603, 604, 605, 606, 616, 617, 618, 619, 800, 801, 802, 803, 804, 805, 806, 807, 808 y 809;
  • SAP Strategic Enterprise Management, en las versiones: SEM-BW 600, 700, 602, 603, 604, 605, 634, 736, 746, 747, 748 y 800;
  • SAP NetWeaver Application Server Java, en la versión: LMNWABASICAPPS 7.50;
  • SAP NetWeaver y plataforma ABAP, en las versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.16, 9.17 y 9.18.
Descripción

SAP, en su parche mensual de actualizaciones, ha informado de 26 vulnerabilidades: 2 críticas, 7 altas, 15 medias y 2 bajas. En el caso de que fuesen exitosamente explotadas, podrían permitir a un atacante ejecutar sentencias SQL arbitrarias y realizar llamadas a funciones remotas entre otras.

Solución

Se recomienda actualizar los productos a su última versión estable si la tienen y, en su defecto, SAP recomienda que se visite el Portal de Soporte para aplicar los debidos parches a los productos afectados.

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2026-0488: vulnerabilidad de inyección de código en SAP CRM y SAP S/4HANA que, en el caso de que fuese explotada, podría permitir a un atacante autenticado explotar una falla en la llamada de un módulo de función genérico y ejecutar funcionalidades críticas no autorizadas. Lo cual conlleva una vulneración total de la base de datos.
  • CVE-2026-0509: vulnerabilidad de comprobación de autorización faltante en SAP NetWeaver Application Server ABAP y ABAP Platform. Si fuese exitosamente explotada, esta vulnerabilidad podría permitir a un atacante autenticado y con pocos privilegios realizar llamadas a funciones remotas  sin la autorización S_RFC, requerida en ciertos casos. Esto genera un gran impacto en la integridad y la disponibilidad del sistema.

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-0488 Crítica No SAP
CVE-2026-0509 Crítica No SAP
Listado de referencias
SAP Security Patch Day - February 2026
SAP Security Notes: February 2026 Patch Day
Etiquetas