Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Actualización de seguridad de SAP de octubre de 2025
  • Múltiples vulnerabilidades en productos de Sergestec

Actualización de seguridad de SAP de octubre de 2025

Fecha14/10/2025
Importancia5 - Crítica
Recursos Afectados
  • NetWeaver AS Java, SERVERCORE 7.50.
  • Print Service, SAPSPRINT 8.00 y 8.10.
  • Supplier Relationship Management, SRMNXP01 100 y 150.
  • Commerce Cloud, HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21.
  • Data Hub Integration Suite, CX_DATAHUB_INT_PACK 2205.
  • Application Server for ABAP, SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 y 816.
  • NetWeaver AS ABAP y ABAP Platform, KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15 y 9.16.
  • S/4HANA, S4CORE 104, 105, 106, 107, 108 y 109.
  • Financial Service Claims Management, INSURANCE 803, 804, 805, 806, S4CEXT 107, 108 y 109.
  • BusinessObjects, ENTERPRISE 430, 2025 y 2027.
  • Cloud Appliance Library Appliances, TITANIUM_WEBAPP 4.0.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 13 vulnerabilidades: 3 de severidad crítica, 2 de severidad alta, 6 de severidad media y 2 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de deserialización insegura, recorrido de directorios o archivos sin restricciones.

Solución

El fabricante recomienda visitar el portal de soporte y aplicar los parches de forma prioritaria para proteger los entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2025-42944: vulnerabilidad de deserialización en SAP NetWeaver. Un atacante no autenticado podría explotar el sistema a través del módulo RMI-P4 enviando una carga maliciosa a un puerto abierto. La deserialización de estos objetos Java no confiables podría provocar la ejecución arbitraria de comandos del sistema operativo, lo que afectaría gravemente la confidencialidad, integridad y disponibilidad de la aplicación.
  • CVE-2025-42937: el Servicio de Impresión SAP (SAPSprint) no realiza una validación adecuada de la información de ruta proporcionada por los usuarios. Un atacante, no autenticado, podría acceder al directorio principal y sobrescribir archivos del sistema, lo que afectaría gravemente la confidencialidad, la integridad y la disponibilidad de la aplicación.
  • CVE-2025-42910: debido a la falta de verificación del tipo o contenido del archivo, SAP Supplier Relationship Management permite a un atacante autenticado cargar archivos arbitrarios. Estos archivos podrían incluir ejecutables que el usuario podría descargar y ejecutar, y que podrían albergar malware. Si se explota con éxito, un atacante podría causar un gran impacto en la confidencialidad, integridad y disponibilidad de la aplicación.

Múltiples vulnerabilidades en productos de Sergestec

Fecha14/10/2025
Importancia5 - Crítica
Recursos Afectados
  • Exito, versión 8.0;
  • SISTICK, versión 7.2.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades, 2 de severidad crítica, 1 de severidad alta y 1 de severidad media, que afectan a Exito y SISTICK de Sergestec, un software de gestión de información. Las vulnerabilidades han sido descubiertas por Ignacio Aldarabi.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41018 y CVE-2025-41019: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-41020: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-639
  • CVE-2025-41021: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2025-41018: inyección SQL en Exito v8.0 de Sergestec. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del parámetro 'cat' en '/public.php'.
  • CVE-2025-41019: inyección SQL en SISTICK v7.2 de Sergestec. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del parámetro 'id' en '/index.php?view=ticket_detail'.
  • CVE-2025-41020: vulnerabilidad de referencias directas a objetos inseguros (IDOR) en Exito v8.0 de Sergestec. Esta vulnerabilidad permite a un atacante acceder a datos que pertenecen a otros clientes a través del parámetro 'id' en '/incibe-cert/tags/ticket_a4.php'.
  • CVE-2025-41021: Cross-Site Scripting (XSS) almacenado en Exito v8.0 de Sergestec, que consiste en un XSS almacenado debido a la falta de validación adecuada de las entradas del usuario mediante el envío de una petición POST utilizando el parámetro 'obs' en '/incibe-cert/tags/index.php?action=product_update'. Esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión de cookies.