{"id":11159,"date":"2025-12-10T13:20:44","date_gmt":"2025-12-10T19:20:44","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11159"},"modified":"2025-12-10T13:20:45","modified_gmt":"2025-12-10T19:20:45","slug":"alerta-2025-101-multiples-vulnerabilidades-identificadas-en-productos-sap","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-101-multiples-vulnerabilidades-identificadas-en-productos-sap\/","title":{"rendered":"Alerta 2025-101 M\u00faltiples Vulnerabilidades Identificadas en Productos SAP"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SAP Solution Manager<\/strong> (ST 720)<\/li>\n\n\n\n<li><strong>SAP Commerce Cloud<\/strong> (HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21)<\/li>\n\n\n\n<li><strong>SAP jConnect \u2013 SDK for ASE<\/strong> (16.0.4 y 16.1)<\/li>\n\n\n\n<li><strong>SAP Web Dispatcher \/ Internet Communication Manager (ICM)<\/strong> (Versiones 7.22 a 9.16)<\/li>\n\n\n\n<li><strong>SAP NetWeaver<\/strong> (m\u00f3dulos BI y servicios remotos, versi\u00f3n 7.50)<\/li>\n\n\n\n<li><strong>SAP Business Objects<\/strong> (Enterprise 430, 2025, 2027)<\/li>\n\n\n\n<li><strong>SAP S\/4 HANA Private Cloud<\/strong> (S4CORE 104\u2013109)<\/li>\n\n\n\n<li><strong>SAP NetWeaver ICF \/ SAPUI5 framework<\/strong> (SAP_BASIS 700\u2013758, SAP_UI 755\u2013758)<\/li>\n\n\n\n<li><strong>Application Server ABAP<\/strong> (kernel 7.53\u20139.17)<\/li>\n\n\n\n<li><strong>SAP Enterprise Search \/ Enterprise Portal<\/strong><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>SAP public\u00f3 su bolet\u00edn de seguridad mensual con 14 vulnerabilidades: 3 cr\u00edticas, 5 altas y 6 medias, que afectan a m\u00faltiples productos de la plataforma SAP. Estas fallas podr\u00edan permitir a un atacante ejecutar c\u00f3digo malicioso, realizar ataques de deserializaci\u00f3n, provocar denegaciones de servicio, acceder a informaci\u00f3n sensible, explotar SSRF, realizar XSS, omitir autenticaci\u00f3n o autorizaci\u00f3n, manipular memoria y revelar informaci\u00f3n interna. Debido a la amplia superficie afectada y al impacto potencial sobre la confidencialidad, integridad y disponibilidad de los sistemas, SAP recomienda aplicar los parches oficiales de forma inmediata.<\/p>\n\n\n\n<p><strong>CVE-2025-42880 \u2013 Code Injection en SAP Solution Manager (CVSS 9.9)<\/strong><br>Una falla por falta de sanitizaci\u00f3n de entradas permite a un atacante autenticado inyectar c\u00f3digo malicioso al invocar un m\u00f3dulo de funci\u00f3n remoto, lo que podr\u00eda otorgarle control total del sistema y comprometer la confidencialidad, integridad y disponibilidad.<\/p>\n\n\n\n<p><strong>CVE-2025-55754 \u2013 Vulnerabilidades m\u00faltiples en Apache Tomcat dentro de SAP Commerce Cloud (CVSS 9.6)<\/strong><br>Tomcat no neutraliza correctamente las secuencias de escape ANSI en los mensajes de registro, permitiendo que un atacante env\u00ede URLs manipuladas para alterar la consola o portapapeles en sistemas Windows, con intenci\u00f3n de enga\u00f1ar a administradores y provocar la ejecuci\u00f3n de comandos maliciosos. Varias versiones 9.x, 10.x y 11.x est\u00e1n afectadas y requieren actualizaci\u00f3n inmediata.<\/p>\n\n\n\n<p><strong>CVE-2025-42928 \u2013 Deserializaci\u00f3n Insegura en SAP jConnect \u2013 SDK for ASE (CVSS 9.1)<\/strong><br>Un usuario con privilegios elevados podr\u00eda aprovechar una entrada especialmente manipulada para desencadenar una deserializaci\u00f3n insegura que derive en ejecuci\u00f3n remota de c\u00f3digo, impactando gravemente la disponibilidad, integridad y confidencialidad del sistema.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>El fabricante recomienda encarecidamente que el cliente visite el&nbsp;<a href=\"https:\/\/support.sap.com\/en\/my-support\/knowledge-base\/security-notes-news.html\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>portal de soporte<\/strong><\/a>&nbsp;y aplique los parches de forma prioritaria para proteger su entorno SAP.<\/p>\n\n\n\n<p><a href=\"https:\/\/support.sap.com\/en\/my-support\/knowledge-base\/security-notes-news.html\">SAP Security Notes &amp; News<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/support.sap.com\/en\/my-support\/knowledge-base\/security-notes-news\/december-2025.html\">https:\/\/support.sap.com\/en\/my-support\/knowledge-base\/security-notes-news\/december-2025.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/actualizacion-de-seguridad-de-sap-de-diciembre-de-2025?sstc=u88504nl592451\">Actualizaci\u00f3n de seguridad de SAP de diciembre de 2025 | INCIBE-CERT | INCIBE<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":6170,"template":"","class_list":["post-11159","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11159\/revisions"}],"predecessor-version":[{"id":11160,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11159\/revisions\/11160"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6170"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}