Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en SAP GUI para Windows with active GuiXT (CVE-2026-24317)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-427 Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
10/03/2026
Última modificación:
11/03/2026

Descripción

SAP GUI para Windows permite que los archivos DLL se carguen desde directorios arbitrarios dentro de la aplicación. Un atacante no autenticado podría explotar esta vulnerabilidad persuadiendo a una víctima para que coloque un DLL malicioso dentro de uno de estos directorios. El comando malicioso se ejecuta en el contexto del usuario víctima siempre que GuiXT esté habilitado. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad, integridad y disponibilidad.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información