Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en SAP ERP BW Business Content (CVE-2025-30013)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
08/04/2025
Última modificación:
08/04/2025

Descripción

SAP ERP BW Business Content es vulnerable a la inyección de comandos del sistema operativo a través de ciertos módulos de función. Estos módulos, al ejecutarse con privilegios elevados, gestionan incorrectamente la entrada del usuario, lo que permite a un atacante inyectar comandos arbitrarios del sistema operativo. Esta vulnerabilidad permite la ejecución de comandos no deseados en el sistema subyacente, lo que supone un riesgo de seguridad significativo para la confidencialidad, integridad y disponibilidad de la aplicación.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.70 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información