{"id":11007,"date":"2025-09-12T09:53:19","date_gmt":"2025-09-12T15:53:19","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11007"},"modified":"2025-09-12T09:53:20","modified_gmt":"2025-09-12T15:53:20","slug":"alerta-2025-73-multiples-vulnerabilidades-sap","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-73-multiples-vulnerabilidades-sap\/","title":{"rendered":"Alerta 2025-73 Multiples Vulnerabilidades SAP"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAP NetWeaver (RMIP4), ServerCore 7.50<\/li>\n\n\n\n<li>NetWeaver AS Java (Deploy Web Service), J2EE-APPS 7.50<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>SAP ha abordado 21 nuevas vulnerabilidades que afectan a sus productos, incluyendo tres problemas de gravedad cr\u00edtica que afectan a la soluci\u00f3n de software NetWeaver.<\/p>\n\n\n\n<p>SAP NetWeaver es la base de las aplicaciones empresariales de SAP, como ERP, CRM, SRM y SCM, y act\u00faa como un middleware modular ampliamente implementado en grandes redes empresariales.<\/p>\n\n\n\n<p>En su bolet\u00edn de seguridad de septiembre, el proveedor de software de planificaci\u00f3n de recursos empresariales (ERP) menciona una vulnerabilidad con una puntuaci\u00f3n de gravedad m\u00e1xima de 10 sobre 10, identificada como CVE-2025-42944. El problema de seguridad radica en una vulnerabilidad de deserializaci\u00f3n insegura en SAP NetWeaver (RMIP4), ServerCore 7.50. Un atacante no autenticado podr\u00eda explotarla para ejecutar comandos arbitrarios del sistema operativo enviando un objeto Java malicioso a un puerto abierto a trav\u00e9s del m\u00f3dulo RMI-P4<\/p>\n\n\n\n<p>RMI-P4 es el protocolo de invocaci\u00f3n de m\u00e9todos remotos (RMI-P4) utilizado por SAP NetWeaver AS Java para la comunicaci\u00f3n interna entre SAP o para fines administrativos. Aunque el puerto P4 est\u00e1 abierto en el host, algunas organizaciones podr\u00edan exponerlo inadvertidamente a redes m\u00e1s amplias o a Internet debido al firewall u otras configuraciones incorrectas.<\/p>\n\n\n\n<p>La segunda falla cr\u00edtica corregida por SAP este mes es CVE-2025-42922 (puntuaci\u00f3n CVSS v3.1: 9.9), un error de operaciones de archivos inseguros que afecta a NetWeaver AS Java (Implementar servicio web), J2EE-APPS 7.50. Un atacante con acceso autenticado no administrativo puede explotar una falla en la funcionalidad de implementaci\u00f3n del servicio web para cargar archivos arbitrarios, lo que podr\u00eda comprometer por completo el sistema.<\/p>\n\n\n\n<p>La tercera falla es la falta de una comprobaci\u00f3n de autenticaci\u00f3n en NetWeaver, identificada como CVE-2025-42958 (puntuaci\u00f3n CVSS v3.1: 9.1). Esta vulnerabilidad permite que usuarios no autorizados con altos privilegios lean, modifiquen o eliminen datos confidenciales y accedan a funciones administrativas<\/p>\n\n\n\n<p>SAP tambi\u00e9n abord\u00f3 las siguientes nuevas vulnerabilidades de alta gravedad:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-42933 (SAP Business One SLD): Almacenamiento inseguro de datos confidenciales (p. ej., credenciales) que podr\u00edan ser extra\u00eddos y utilizados de forma indebida.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-42929 (Servidor de replicaci\u00f3n SLT): Falta de validaci\u00f3n de entrada, lo que permite que entradas maliciosas corrompan o manipulen datos replicados.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CVE-2025-42916 (S\/4HANA): Falta de validaci\u00f3n de entrada en componentes principales, lo que supone un riesgo de manipulaci\u00f3n no autorizada de datos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n:<\/h2>\n\n\n\n<p>Se recomienda a los administradores de sistemas que sigan las recomendaciones de parcheo y mitigaci\u00f3n para las tres fallas cr\u00edticas, disponibles para los clientes con una cuenta SAP.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/me.sap.com\/notes\/3634501\">https:\/\/me.sap.com\/notes\/3634501<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/me.sap.com\/notes\/3643865\">https:\/\/me.sap.com\/notes\/3643865<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/me.sap.com\/notes\/3627373\">https:\/\/me.sap.com\/notes\/3627373<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/cyberpress.org\/sap-releases-security-updates\/\">https:\/\/cyberpress.org\/sap-releases-security-updates\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/sap-fixes-maximum-severity-netweaver-command-execution-flaw\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/sap-fixes-maximum-severity-netweaver-command-execution-flaw\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/securityonline.info\/sap-security-patch-day-fixes-four-critical-flaws-including-a-cvss-10-0-rce-cve-2025-42944\/\">https:\/\/securityonline.info\/sap-security-patch-day-fixes-four-critical-flaws-including-a-cvss-10-0-rce-cve-2025-42944\/<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":7919,"template":"","class_list":["post-11007","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":2,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11007\/revisions"}],"predecessor-version":[{"id":11012,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11007\/revisions\/11012"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/7919"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}