Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de septiembre de 2025

Fecha de publicación 09/09/2025
Identificador
INCIBE-2025-0483
Importancia
5 - Crítica
Recursos Afectados
  • SAP Netweaver (RMI-P4), versión SERVERCORE 7.50.
  • SAP NetWeaver AS Java (Deploy Web Service), versión J2EE-APPS 7.50.
  • SAP NetWeaver, versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53 y 7.54.
  • SAP Business One (SLD), versión B1_ON_HANA 10.0 y SAP-M-BO 10.0.
  • SAP Landscape Transformation Replication Server, versiones DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710,2011_1_730, 2011_1_731 y 2011_1_752, 2020.
  • SAP S/4HANA (Private Cloud or On-Premise), versiones S4CORE 102, 103, 104, 105, 106, 107 y 108.
  • SAP Commerce Cloud and SAP Datahub, versiones HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211 y DHUB_CLOUD 2211.
  • SAP Business Planning and Consolidation, versiones BPC4HANA 200, 300, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 914 y CPMBPC 810.
  • SAP HCM (My Timesheet Fiori 2.0 application), versión GBX01HR5 605.
  • SAP HCM (Approve Timesheets Fiori 2.0 application), versión GBX01HR5 605.
  • SAP BusinessObjects Business Intelligence Platform, versión ENTERPRISE 430, 2025 y 2027.
  • SAP Supplier Relationship Management, versiones SRM_SERVER 700, 701, 702, 713 y 714.
  • SAP NetWeaver ABAP Platform, versiones S4CRM 100, 200, 204, 205, 206, S4CEXT 109, BBPCRM 713 y 714.
  • Fiori app (Manage Payment Blocks), versiones S4CORE 107 y 108.
  • SAP NetWeaver Application Server Java, versión WD-RUNTIME 7.50.
  • SAP NetWeaver (Service Data Download), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702 y SAP_BASIS 731,SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816.
  • SAP NetWeaver AS Java (IIOP Service), versión SERVERCORE 7.50.
  • SAP Fiori App (F4044 Manage Work Center Groups), versiones UIS4HOP1 600, 700, 800 y 900.
  • SAP NetWeaver Application Server for ABAP (Background Processing), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816.
  • SAP NetWeaver AS Java (Adobe Document Service), versión ADSSAP 7.50.
  • SAP Commerce Cloud, versiones HY_COM 2205 y COM_CLOUD 2211.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad crítica, 3 de severidad alta, 13 de severidad media y 2 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Scripting (XSS), falta de comprobación de autorización, deserialización insegura, almacenamiento inseguro de información confidencial, revelación de información y salto de directorios.

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son del siguiente tipo:

  • deserialización insegura,
  • operaciones de archivos inseguras,
  • falta la comprobación de autenticación.

Se han asignado los identificadores CVE-2025-42944, CVE-2025-42922 y CVE-2025-42958 para las vulnerabilidades de severidad crítica.

CVE
Explotación
No
Nuevo Fabricante
SAP
Identificador CVE
CVE-2025-42944
Severidad
Crítica
Explotación
No
Nuevo Fabricante
SAP
Identificador CVE
CVE-2025-42922
Severidad
Crítica
Explotación
No
Nuevo Fabricante
SAP
Identificador CVE
CVE-2025-42958
Severidad
Crítica
Listado de referencias
SAP Security Patch Day - September 2025
SAP Security Notes: September 2025 Patch Day Anal
Etiquetas