Tres nuevos avisos de seguridad
Índice
- Actualización de seguridad de SAP de marzo de 2025
- Deserialización insegura remota en InfoScale Windows .Net de Veritas
- Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
Actualización de seguridad de SAP de marzo de 2025
- SAP Commerce (Swagger UI), versión: COM_CLOUD 2211;
- SAP NetWeaver (generador de clases ABAP), versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 914;
- SAP Commerce Cloud, versiones: HY-COM 2205 y COM-CLOUD 2211;
- SAP Business One (capa de servicio), versiones. B1_ON_HANA 10.0 y SAP-M-BO 10.0;
- SAP NetWeaver Application Server ABAP (aplicaciones basadas en SAP GUI para HTML), versiones: KRNL64UC 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 y KERNEL 9.14;
- Servidor de aplicaciones SAP NetWeaver ABAP, versiones: SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 914;
- SAP Business Warehouse (Process Chains), versiones: DW4CORE 100, DW4CORE 200, DW4CORE 300, DW4CORE 400 y DW4CORE 914; SAP_BW 730, SAP_BW 731, SAP_BW 740 y SAP_BW 750;
- SAP NetWeaver Application Server Java, versión: AJAX-RUNTIME 7.50;
- SAP BusinessObjects Business Intelligence Platform (Web Intelligence), versión: ENTERPRISE 430, 2025;
- SAP NetWeaver Enterprise Portal (componente OBN), versión: EP-RUNTIME 7.50;
- SAP Web Dispatcher e Internet Communication Manager, versiones: KRNL64UC 7.53, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.89, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93 y KERNEL 9.14;
- SAP BusinessObjects Business Intelligence Platform, versiones: ENTERPRISE 430, 2025, ENTERPRISECLIENTTOOLS 430, 2025;
- SAP NetWeaver Enterprise Portal (componente OBN), versiones: EP-RUNTIME 7.50;
- SAP S/4HANA (Manage Bank Statements), versiones: S4CORE 107 y S4CORE 108;
- SAP S/4HANA (RBD), versiones: S4CORE 102, 103, 104, 105, 106, 107, 108, EA-FINSERV 618 y EA-FINSERV 800;
- Aplicaciones SAP Fiori (biblioteca de publicaciones), versiones: S4CORE 103, 104, 105, 106, 107 y 108;
- SAP Just In Time, versiones: S4CORE 105, 106, 107 y 108;
- SAP Business Objects Business Intelligence Platform, versiones: ENTERPRISE 430, 2025 y 2027;
- SAP Commerce Cloud y SAP Datahub, versiones: HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, DHUB_CLOUD 2211;
- SAP CRM y SAP S/4HANA (Interaction Center), versiones: S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800 y 801;
- SAP Just In Time, versiones: S4CORE 102, 103, 104, 105, 106, 107 y ECC-DIMP 618;
- SAP Electronic Invoicing para Brazil (eDocument Cockpit), versiones: SAP_APPL 617, 618, S4CORE 102, 103, 104, 105, 106, 107 y 108.
SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14 medias y 4 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante, no autenticado, inyectar código malicioso desde fuentes remotas u obtener niveles de acceso más altos de los que debería
SAP recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.
Las vulnerabilidades de severidad alta son de los siguientes tipos:
- vulnerabilidad Cross-Site Scripting (XSS);
- ausencia de comprobación en la autorización;
- vulnerabilidad en Apache Tomcat que afecta a SAP Commerce Cloud.
Se han asignado los identificadores CVE-2025-27434, CVE-2025-26661 y CVE-2024-38286 para las vulnerabilidades de severidad alta.
La información detallada para las vulnerabilidades de severidad media y baja, puede consultarse en las referencias.
Deserialización insegura remota en InfoScale Windows .Net de Veritas
Arctera InfoScale Enterprise para Windows, versiones:
- 7.0,
- 7.0.1,
- 7.1,
- 7.2,
- 7.3,
- 7.3.1,
- 7.4,
- 7.4.1,
- 7.4.2,
- 8.0,
- 8.0.1,
- 8.0.2.
Las versiones anteriores de este producto y que ya carecen de mantenimiento, también se ven afectadas por esta vulnerabilidad.
Sina Kheirkhah (@SinSinology) de watchTowr ha descubierto esta vulnerabilidad de severidad crítica que afecta a Arctera InfoScale y se produce debido a una deserialización insegura de mensajes potencialmente no confiables.
Para cada nodo de InfoScale cluster, detenga el servicio Veritas Plug-in Host Service (Plugin_Host) y establezca su Startup Type a Deshabilitado (Disabled).
De forma alternativa, también puede elegir configurar las aplicaciones para Recuperación ante Desastres de forma manual, sin emplear el componente vulnerable. Puede obtener más información a este respecto en el Manual de Veritas para la configuración de Recuperación ante Desastres manual.
El endpoint remoto .NET de InfoScale de Arctera, realiza una deserialización insegura de mensajes potencialmente no confiables. La vulnerabilidad se encuentra en el servicio Plugin_Host de Windows, que se ejecuta en todos los servidores donde InfoScale está instalado. El servicio se utiliza únicamente cuando las aplicaciones están configuradas para Recuperación ante Desastres (DR) empleando el DR wizard.
Se ha asignado el identificador CVE-2025-27816 para esta vulnerabilidad.
Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
Los siguientes plugins de Moodle están afectados:
- plugin IcProgreso;
- plugin local administración ajax.php.
INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.
- CVE-2025-2199: vulnerabilidad de inyección SQL en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en “buscarAccionesParaActualizar”, “buscarEspecialidadesPendientes”, “buscarEspecialidadesVinculadas”, “buscarUsuariosParaActualizarPerfil”, “datos_accion_formativa”, “mostrarCursosFormacionContinua” y “mostrarUsuariosParaEdicion” en /local/administracion/ajax.php.
- CVE-2025-2200: vulnerabilidad de inyección SQL en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en los parámetros user, id, idGrupo, fecha_inicio y fecha_fin en el endpoint /report/icprogreso/generar_bloques.php.
- CVE-2025-2201: vulnerabilidad de control de acceso defectuoso en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como direcciones IP públicas, mensajes con otros usuarios y más.
- CVE-2025-2202: vulnerabilidad de control de acceso defectuoso en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como id, nombre, login y email.