SAP lanzó su actualización mensual Security Patch Day que aborda 14 vulnerabilidades críticas en múltiples productos empresariales.
La actualización de seguridad integral incluye parches que abordan problemas críticos de omisión de autorización y vulnerabilidades de secuencias de comandos entre sitios, con puntuaciones CVSS que van de 3,0 a 9,6.
Se recomienda encarecidamente a las organizaciones que utilizan soluciones empresariales de SAP que prioricen la implementación de estos parches de seguridad para proteger sus entornos críticos para el negocio de una posible explotación.
La vulnerabilidad más grave abordada en este ciclo de parches es CVE-2025-42989, una verificación de autorización faltante en SAP NetWeaver Application Server para ABAP.
Esta falla crítica tiene una puntuación CVSS máxima de 9,6 y afecta a las versiones de KERNEL 7.89, 7.93, 9.14 y 9.15.
La vulnerabilidad podría potencialmente permitir el acceso no autorizado a funciones comerciales confidenciales, lo que hace que la aplicación inmediata de parches sea esencial para las organizaciones que ejecutan estas versiones del kernel.
CVE-2025-42982 representa una vulnerabilidad de divulgación de información de alta prioridad en SAP GRC (AC Plugin) con una puntuación CVSS de 8,8.
Esta falla de seguridad afecta las versiones V1100_700 y V1100_731 de GRCPINW, lo que potencialmente expone datos confidenciales de gobernanza, riesgo y cumplimiento a usuarios no autorizados.
Además, CVE-2025-42983 soluciona una verificación de autorización faltante en SAP Business Warehouse y SAP Plug-In Basis, con una puntuación de 8,5 en la escala CVSS y que afecta a varias versiones, incluidas PI_BASIS 2006_1_700 a 731, 740 y SAP_BW versiones 750 a 915.
Se abordaron varias vulnerabilidades de prioridad media, centrándose principalmente en las aplicaciones SAP S/4HANA.
CVE-2025-42993 soluciona una verificación de autorización faltante en la funcionalidad Enterprise Event Enablement de SAP S/4HANA, lo que afecta las versiones 757 y 758 de SAP_GWFND, con una puntuación CVSS de 6,7.
Esta vulnerabilidad podría permitir potencialmente el acceso no autorizado a las capacidades de procesamiento de eventos empresariales.
CVE-2025-31325 aborda una vulnerabilidad de secuencias de comandos entre sitios en la documentación de palabras clave ABAP de SAP NetWeaver, que afecta específicamente a SAP_BASIS versión 758 con una puntuación CVSS de 5,8.
El parche también incluye correcciones para CVE-2025-42984, que resuelve problemas de verificación de autorización en la aplicación Administrar contrato de compra central de SAP S/4HANA que afectan las versiones 106, 107 y 108 de S4CORE.
Los parches adicionales de prioridad media incluyen CVE-2025-42998 para una mala configuración de seguridad en SAP Business One Integration Framework y CVE-2025-42987 que aborda las comprobaciones de autorización en la funcionalidad de reglas de procesamiento de extractos bancarios de SAP S/4HANA.
CVE-2025-42988 aborda la falsificación de solicitudes del lado del servidor en la plataforma SAP Business Objects Business Intelligence, lo que afecta a las versiones ENTERPRISE 430, 2025 y 2027 con una puntuación CVSS de 3,7.
CVE-2025-42990 resuelve problemas de inyección de HTML en aplicaciones SAPUI5 desprotegidas en múltiples versiones de UI.
SAP recomienda encarecidamente que los clientes visiten el Portal de soporte inmediatamente para descargar y aplicar estos parches de seguridad críticos.
Las organizaciones deben priorizar los parches según sus puntuaciones CVSS y la criticidad de los sistemas afectados dentro de su panorama empresarial.
El monitoreo regular de las versiones del Día del parche de seguridad de SAP sigue siendo esencial para mantener posturas sólidas de ciberseguridad en entornos empresariales.
