Patch Day SAP – Enero 2025 – BLOOMTECH | SERVICIOS TI, NETWORKING Y CIBERSEGURIDAD

En su último martes de parches, SAP publicó los parches que abarcan un total de 13 vulnerabilidades. De estas, 2 se encuentran clasificadas con severidad crítica, 3 con severidad alta y 8 con severidad media.

Estas vulnerabilidades afectan a los siguientes productos:

SAP NetWeaver Application Server for ABAP and ABAP Platform
SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework)
SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML)
SAP BusinessObjects Business Intelligence Platform
Entre otros.

Severidad Crítica

CVE-2025-0070 [CVSSv3.1: 9.9]
Autenticación Inadecuada en el Servidor ABAP SAP NetWeaver y la Plataforma ABAP

SAP NetWeaver Application Server para ABAP y ABAP Platform permite a un atacante autenticado obtener acceso ilegítimo al sistema explotando comprobaciones de autenticación inadecuadas, lo que resulta en una escalada de privilegios. Si se explota con éxito, esto puede dar lugar a posibles problemas de seguridad. Esto resulta en un alto impacto en la confidencialidad, integridad y disponibilidad.

CVE-2025-0066 [CVSSv3.1: 9.9]
Vulnerabilidad de divulgación de información en SAP NetWeaver AS para ABAP y ABAP Platform (Internet Communication Framework)

En determinadas condiciones, SAP NetWeaver AS for ABAP y ABAP Platform (Internet Communication Framework) permiten a un atacante acceder a información restringida debido a controles de acceso deficientes. Esto puede tener un impacto significativo en la confidencialidad, integridad y disponibilidad de una aplicación.

Severidad Alta

CVE-2025-0063 [CVSSv3.1: 8.8]
Vulnerabilidad de inyección SQL en SAP NetWeaver AS para ABAP y ABAP Platform

SAP NetWeaver AS ABAP y ABAP Platform no comprueban la autorización cuando un usuario ejecuta algunos módulos de función RFC. Esto podría llevar a un atacante con privilegios de usuario básicos para obtener el control sobre los datos en la base de datos Informix, lo que lleva a comprometer completamente la confidencialidad, integridad y disponibilidad.

CVE-2025-0061 [CVSSv3.1: 8.7]
Múltiples vulnerabilidades en SAP BusinessObjects Business Intelligence Platform

SAP BusinessObjects Business Intelligence Platform permite a un atacante no autenticado realizar un secuestro de sesión a través de la red sin ninguna interacción del usuario, debido a una vulnerabilidad de divulgación de información. El atacante puede acceder y modificar todos los datos de la aplicación.

CVE-2025-0069 [CVSSv3.1: 7.8]
Múltiples vulnerabilidades en SAP BusinessObjects Business Intelligence Platform

Severidad Medio

CVE-2025-0058 [CVSSv3.1: 6.5]
Vulnerabilidad de divulgación de información en SAP Business Workflow y SAP Flexible Workflow

CVE-2025-0067 [CVSSv3.1: 6.3]
Falta comprobación de autorización en SAP NetWeaver Application Server Java

CVE-2025-0055 [CVSSv3.1: 6.0]
Vulnerabilidad de divulgación de información en SAP GUI para Windows

CVE-2025-0056 [CVSSv3.1: 6.0]
Vulnerabilidad de divulgación de información en SAP GUI para Java

CVE-2025-0059 [CVSSv3.1: 6.0]
Vulnerabilidad de divulgación de información en SAP NetWeaver Application Server ABAP (aplicaciones basadas en SAP GUI para HTML)

CVE-2025-0053 [CVSSv3.1: 5.3]
Vulnerabilidad de divulgación de información en SAP NetWeaver Application Server para ABAP y ABAP Platform

CVE-2025-0057 [CVSSv3.1: 4.8]
Vulnerabilidad de Cross-Site Scripting en SAP NetWeaver AS JAVA (User Admin Application)

CVE-2025-0068 [CVSSv3.1: 4.3]
Falta Comprobación de Autorización en Llamada a Función Remota (RFC) en SAP NetWeaver Application Server ABAP

Plan de acción

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Fuentes Utilizadas