Vulnerabilidad en SAP S/4HANA (Private Cloud and On-Premise) de SAP_SE (CVE-2026-0498)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
13/01/2026
Última modificación:
22/01/2026
Descripción
SAP S/4HANA (Nube Privada y On-Premise) permite a un atacante con privilegios de administrador explotar una vulnerabilidad en el módulo de función expuesto vía RFC. Esta falla permite la inyección de código ABAP/comandos de SO arbitrarios en el sistema, eludiendo comprobaciones de autorización esenciales. Esta vulnerabilidad funciona efectivamente como una puerta trasera, creando el riesgo de compromiso total del sistema, socavando la confidencialidad, integridad y disponibilidad del sistema.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:s\/4_hana:102:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:103:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:104:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:105:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:106:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:107:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:108:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:s\/4_hana:109:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página