SAP NetWeaver Enterprise Portal Administration<\/strong><\/p>\n\n\n\n SAP Supply Chain Management (SCM)<\/strong><\/p>\n\n\n\n Recientemente, SAP public\u00f3 actualizaciones de seguridad que corrigen dos vulnerabilidades identificadas como CVE-2026-27685 y CVE-2026-27689<\/strong>, que afectan a componentes clave de SAP NetWeaver Enterprise Portal Administration y SAP Supply Chain Management<\/strong>. La m\u00e1s cr\u00edtica de ellas, CVE-2026-27685, posee una puntuaci\u00f3n CVSS de 9.1 (cr\u00edtica)<\/strong> y se origina debido a un problema de deserializaci\u00f3n insegura de datos no confiables (CWE-502) dentro del portal empresarial de SAP NetWeaver.<\/p>\n\n\n\n La vulnerabilidad CVE-2026-27685 ocurre cuando el sistema procesa objetos serializados provenientes de contenido cargado por usuarios privilegiados sin realizar validaciones adecuadas. La deserializaci\u00f3n convierte datos serializados en objetos ejecutables dentro de la aplicaci\u00f3n; si estos datos son manipulados por un atacante, pueden desencadenar la ejecuci\u00f3n de c\u00f3digo arbitrario en el sistema afectado<\/strong>. Esto podr\u00eda permitir comprometer completamente el servidor SAP, manipular informaci\u00f3n empresarial o facilitar movimientos laterales hacia otros sistemas dentro de la red corporativa.<\/p>\n\n\n\n Por otro lado, la vulnerabilidad CVE-2026-27689, con una puntuaci\u00f3n CVSS de 7.7<\/strong> (alta),<\/strong> afecta a SAP Supply Chain Management y se debe a un problema de consumo excesivo de recursos dentro de un m\u00f3dulo de funci\u00f3n habilitado remotamente. Un atacante autenticado puede explotar esta debilidad invocando repetidamente una funci\u00f3n con par\u00e1metros manipulados que provocan la ejecuci\u00f3n de bucles prolongados dentro del sistema<\/strong>. Esto genera un consumo elevado de CPU y memoria, lo que puede derivar en condiciones de Denial-of-Service (DoS) que afecten la disponibilidad de servicios cr\u00edticos relacionados con la gesti\u00f3n de la cadena de suministro.<\/p>\n\n\n\n SAP ha publicado parches oficiales para corregir ambas vulnerabilidades a trav\u00e9s de sus Security Notes<\/strong> incluidas en el ciclo de actualizaciones de marzo de 2026, mismas que puedes encontrar en los siguientes enlaces:<\/p>\n\n\n\n https:\/\/me.sap.com\/notes\/3714585<\/a><\/p>\n\n\n\n https:\/\/me.sap.com\/notes\/3719502<\/a><\/p>\n\n\n\n Para CVE-2026-27685<\/strong>, la SAP Security Note 3714585<\/strong> introduce validaciones adicionales para impedir que datos serializados maliciosos sean procesados por el sistema. En el caso de CVE-2026-27689<\/strong>, la SAP Security Note 3719502<\/strong> corrige el manejo de par\u00e1metros dentro del m\u00f3dulo de funci\u00f3n afectado y limita la ejecuci\u00f3n de bucles que podr\u00edan provocar agotamiento de recursos.<\/p>\n\n\n\n Adem\u00e1s de aplicar los parches oficiales, SAP recomienda a las organizaciones implementar controles adicionales de seguridad, tales como:<\/p>\n\n\n\n\n
\n
Descripci\u00f3n<\/h2>\n\n\n\n
Soluci\u00f3n y mitigaciones:<\/h2>\n\n\n\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n