Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de abril de 2026

Fecha de publicación 14/04/2026
Identificador
INCIBE-2026-279
Importancia
5 - Crítica
Recursos Afectados
  • SAP Business Planning and Consolidation y SAP Business Warehouse: versiones HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816;
  • SAP ERP y SAP S/4 HANA (Private Cloud and On-Premise): versiones SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606;
  • SAP BusinessObjects Business Intelligence Platform: versiones ENTERPRISE 430, 2025, 2027;
  • SAP Human Capital Management para SAP S/4HANA: versiones S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604, 608;
  • SAP Business Analytics y SAP Content Management: versiones S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604, 608;
  • SAP S/4HANA OData Service (Manage Reference Equipment): versión S4CORE 109;
  • SAP S/4HANA Backend OData Service (Manage Reference Structures): versión S4CORE 109;
  • SAP S/4HANA Frontend OData Service (Manage Reference Structures): versión UIS4H 109;
  • SAP Supplier Relationship Management (SICF Handler in SRM Catalog): versiones SRM_SERVER 702, 713, 714;
  • SAP NetWeaver Application Server Java (Web Dynpro Java): versión WD-RUNTIME 7.50;
  • SAP NetWeaver Application Server ABAP: versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816;
  • SAP HANA Cockpit and HANA Database Explorer: versión SAP_HANA_COCKPIT 2.0.
  • SAP S/4HANA (Private Cloud and On-Premise): versiones S4CORE 105, 106, 107, 108, 109, FI-CA 606, 616, 617, 618;
  • Material Master Application: versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109, SCM_BASIS 700, SCM_BASIS 701, SCM_BASIS 702, SCM_BASIS 712, SCM_BASIS 713, SCM_BASIS 714;
  • SAP S/4HANA OData Service (Manage Technical Object Structures): versión S4CORE 109;
  • SAP S4CORE (Manage Journal Entries): versiones S4CORE 104, 105, 106, 107, 108;
  • SAP BusinessObjects Business Intelligence Platform: versiones ENTERPRISE 430, 2025, 2027;
  • SAP NetWeaver Application Server ABAP: versiones SAP_UI 758, 816;
  • SAP Landscape Transformation: versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 20 nuevas vulnerabilidades; 1 crítica, 1 alta, 16 medias y 2 bajas. En caso de ser explotadas, podrían permitir a un atacante autenticado ejecutar sentencias SQL manipuladas para leer, modificar y eliminar datos de la base de datos y ejecutar un informe ABAP específico para sobrescribir sin autorización cualquier otro informe ejecutable ABAP de ocho caracteres.

Solución

Se recomienda actualizar los productos afectados. Para ello diríjase al portal de soporte y póngase en contacto directamente con el fabricante.

Detalle

La vulnerabilidad de severidad crítica es:

CVE-2026-27681: insuficiencia de controles de autorización en SAP Business Planning and Consolidation y SAP Business Warehouse que podría permitir a un atacante autenticado ejecutar sentencias SQL manipuladas para leer, modificar y eliminar datos de la base de datos y así comprometer la confidencialidad, integridad y disponibilidad del sistema.

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-27681 Crítica No SAP
CVE-2026-34256 Alta No SAP
Listado de referencias
SAP Security Patch Day - April 2026
Etiquetas