Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de seguridad de SAP: junio de 2026

Fecha de publicación 09/06/2026
Identificador
INCIBE-2026-407
Importancia
5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918 y SAP_BASIS 919.
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 722EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 y 91.9.
  • SAP Commerce Cloud y SAP Data Hub, versiones HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, 2211-JDK21 y DHUB_CLOUD 2211.
  • SAP NetWeaver Application Server Java (Web Container), versión ENGINEAPI 7.50.
  • SAP Commerce Cloud, versiones HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21.
  • SAP NetWeaver AS ABAP y ABAP Platform, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816.
  • ODP Data Replication APIs, versiones DW4CORE 200, 300, 400, PI_BASIS 2006_1_700, 701, 702, 731, 740, SAP_BW 750 y 816.
  • SAP S/4HANA, versiones S4FND 102, 103, 104, 105, 106, 107, 108 y 109.
  • SAP NetWeaver AS Java (JDBC Test Servlet), versión BI_UDI 7.50.
  • SAP Wily Introscope Enterprise Manager, versión WILY_INTRO_ENTERPRISE 10.8.
  • SAP MDG (Review Match Groups Application), versiones S4CORE 108, SAP_BASIS 916, SAP_BASIS 917 y SAP_ABA 816.
  • SAP Business Objects Business Intelligence Platform, versiones ENTERPRISE 430, 2025 y 2027.
  • SAP Fiori (launchpad), versiones SAP_UI 754, 755, 756, 757, 758 y 816.
  • SAP Business Objects, versiones ENTERPRISE 430, 2025 y 2027.
  • SAP NetWeaver AS Java, versiones SERVERCORE 7.50, CORE-TOOLS 7.50 y J2EE-APPS 7.50.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 15 vulnerabilidades: 4 de severidad crítica, 2 de severidad alta, 7 de severidad media y 2 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante poner en riesgo la confidencialidad, la integridad y la disponibilidad de la aplicación o visualizar y modificar información confidencial o inhabilitar cualquier parte del sistema local. 

Solución

Actualizar a la última versión disponible indicada por el fabricante.

Detalle

Las vulnerabilidades de severidad crítica son de los siguientes tipos:

  • CVE-2026-44748: SAP NetWeaver Application Server ABAP y ABAP Platform permiten que un atacante autenticado con privilegios normales obtenga un mensaje firmado válido y envíe documentos XML firmados modificados al verificador. Esto puede resultar en la aceptación de información de identidad manipulada, lo que conlleva un acceso no autorizado a datos confidenciales del usuario y una posible interrupción del funcionamiento normal del sistema. Esto tiene un alto impacto en la confidencialidad, la integridad y la disponibilidad de la aplicación.
  • CVE-2026-27671: debido a una validación incorrecta del protocolo RFC en el núcleo de SAP utilizado por el servidor de aplicaciones ABAP de SAP NetWeaver y la plataforma ABAP, un atacante no autenticado puede enviar una solicitud RFC manipulada que explota errores lógicos en la gestión de memoria, lo que puede provocar corrupción de memoria. Esto podría tener un gran impacto en la confidencialidad, la integridad y la disponibilidad de la aplicación.
  • CVE-2026-22732: cuando las aplicaciones especifican encabezados de respuesta HTTP para aplicaciones servlet que utilizan Spring Security, existe la posibilidad de que los encabezados HTTP no se escriban. Este problema afecta a las aplicaciones Spring Security Servlet que utilizan la escritura diferida (predeterminada) de encabezados HTTP.
  • CVE-2026-40128: SAP NetWeaver Application Server Java (Web Container) permite que un atacante no autenticado cree una solicitud de inicio de sesión HTTP maliciosa que manipula los parámetros de inclusión de archivos, lo que posibilita el acceso no autorizado y el procesamiento del archivo incluido. El procesamiento de dicho archivo podría permitir al atacante visualizar o modificar información confidencial o inhabilitar cualquier parte del sistema local.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-44748 Crítica No SAP
CVE-2026-27671 Crítica No SAP
CVE-2026-22732 Crítica No SAP
CVE-2026-40128 Crítica No SAP
Listado de referencias
SAP Security Patch Day - June 2026
Etiquetas