Segundo Security Patch Day del año
Security Patch Day - Febrero 25
Análisis del Security Patch Day para los muy cafeteros
SAP SECURITY
Destacados del Análisis de las Notas de Seguridad de SAP de Febrero del 25:
-
Resumen de Febrero: Se publicaron veintiún parches de seguridad entre nuevas publicaciones y actualizaciones de parches anteriores.
Se publicaron seis notas de Alta Prioridad -
Notas de Alta Prioridad de SAP: Vulnerabilidades críticas con las puntuaciones CVSS más altas en SAP NetWeaver AS Java y SAP Business Objects.
Análisis de la nuevas notas de Alta Prioridad en detalle:
- La nota de Seguridad de SAP #3417627, etiquetada con una puntuación CVSS de 8.8, es una actualización de una vulnerabilidad de scripting entre sitios (Cross-Site Scripting) en SAP NetWeaver AS Java que se lanzó inicialmente en febrero de 2024. La nota actualizada hace referencia a la nueva Nota de Seguridad de SAP #3557138, etiquetada con una puntuación CVSS de 6.1. Esta nueva nota es necesaria para parchear completamente la vulnerabilidad.
- La nota de Seguridad de SAP #3525794, etiquetada con una puntuación CVSS de 8.7, corrige una vulnerabilidad de control de autorización inadecuada en la plataforma de inteligencia empresarial de SAP BusinessObjects (SAP BO). La vulnerabilidad afecta a la Central Management Console de SAP BO y permite a un atacante con altos privilegios hacerse pasar por cualquier usuario en el sistema mediante el acceso a la frase secreta (secret passphrase) de los sistemas de confianza.
- La nota de Seguridad de SAP #3567551, etiquetada con una puntuación CVSS de 8.6, fue parcheada por SAP para corregir vulnerabilidad crítica de recorrido de directorios en un servlet disponible públicamente de SAP Supplier Relationship Management (Catálogo de Gestión de Datos Maestros). Este servlet permite a un atacante no autenticado descargar archivos arbitrarios de la aplicación y, por lo tanto, acceder a datos potencialmente sensibles.
- La nota de Seguridad de SAP #3567974, etiquetada con una puntuación CVSS de 8.1, afecta a SAP Approuter, un servicio que actúa como un punto de entrada único para varios servicios y aplicaciones de back-end en el ecosistema SAP. La versión del paquete Node.js de SAP Approuter v16.7.1 y anteriores es vulnerable a una omisión de autenticación que causa un alto impacto en la confidencialidad e integridad de la aplicación.
- La nota de Seguridad de SAP #3567172, etiquetada con una puntuación CVSS de 7.5, aborda múltiples vulnerabilidades en SAP Enterprise Project Connection. La aplicación se puede usar para integrar datos entre ciertas aplicaciones de SAP, como Project System o Maintenance Management, y versiones seleccionadas de sistemas de gestión de proyectos de terceros de Microsoft Project y Oracle Primavera. SAP Enterprise Project Connection utiliza versiones de bibliotecas de código abierto del framework Spring que podrían ser vulnerables a CVE-2024-38819, CVE-2024-38820 y CVE-2024-38828.
Nota: Según SAP, la ventana de mantenimiento general para SAP Enterprise Project Connection 3.0 (SAP ENTERPR PROJ CONN 3.0) finalizará el 14 de octubre de 2025. - La nota de Seguridad de SAP #3563929, etiquetada con una puntuación CVSS de 7.1, corrige una vulnerabilidad de redireccionamiento abierto en los servicios de aplicaciones extendidas de SAP HANA. Se identificó una debilidad en el servicio de Cuentas de Usuario y Autenticación (UAA) que permite a los atacantes no autenticados crear un enlace malicioso que, cuando es clicado por una víctima, redirige el navegador a un sitio malicioso debido a una validación insuficiente de la URL de redireccionamiento.
Publicación completa del SAP Security Patch Day 02/25
| Nota SAP | Tipo | Descripción | Prioridad | CVSS |
|---|---|---|---|---|
| 3417627 | Actualización | [CVE-2024-22126] Vulnerabilidad de Cross Site Scripting en NetWeaver AS Java (Aplicación de Administración de Usuarios) | Alta | 8.8 |
| 3525794 | Nueva | [CVE-2025-0064] Autorización inadecuada en la plataforma de inteligencia empresarial de SAP BusinessObjects (Central Management Console) | Alta | 8.7 |
| 3567551 | Nueva | [CVE-2025-25243] Vulnerabilidad de Path traversal en SAP Supplier Relationship Management (Catálogo de Gestión de Datos Maestros) | Alta | 8.6 |
| 3567974 | Nueva | [CVE-2025-24876] Omisión de autenticación mediante inyección de código de autorización en SAP Approuter | Alta | 8.1 |
| 3567172 | Nueva | [CVE-2024-38819] Múltiples vulnerabilidades en SAP Enterprise Project Connection | Alta | 7.5 |
| 3563929 | Nueva | [CVE-2025-24868] Vulnerabilidad de redireccionamiento abierto en los servicios de aplicaciones extendidas de SAP HANA, modelo avanzado (Servicios de Cuentas de Usuario y Autenticación) | Alta | 7.1 |
| 3555364 | Nueva | [CVE-2025-24875] SameSite Defense en profundidad no aplicada para algunas cookies en SAP Commerce | Media | 6.8 |
| 3559510 | Nueva | [CVE-2025-24874] Falta de defensa en profundidad contra el clickjacking en SAP Commerce (Backoffice) | Media | 6.8 |
| 3445708 | Nueva | [CVE-2025-24867] Vulnerabilidad de Cross-Site Scripting (XSS) en la plataforma de inteligencia empresarial de SAP BusinessObjects (BI Launchpad) | Media | 6.1 |
| 3557138 | Nueva | Actualización 1 a la Nota de Seguridad 3417627 – [CVE-2024-22126] Vulnerabilidad de Cross Site Scripting en NetWeaver AS Java (Aplicación de Administración de Usuarios) | Media | 6.1 |
| 3562336 | Nueva | [CVE-2025-24870] Vulnerabilidad de gestión insegura de claves y secretos en SAP GUI para Windows | Media | 6.0 |
| 3540273 | Nueva | [CVE-2024-45216] Múltiples vulnerabilidades en Apache Solr dentro de SAP Commerce Cloud | Media | 5.5 |
| 3526203 | Nueva | [CVE-2025-0054] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Application Server Java | Media | 5.4 |
| 3532025 | Nueva | [CVE-2025-25241] Falta de verificación de autorización en SAP Fiori Apps Reference Library (Mis Solicitudes de Horas Extra) | Media | 5.4 |
| 3546470 | Nueva | [CVE-2025-23187] Falta de verificación de autorización en SAP NetWeaver y plataforma ABAP (SDCCN) | Media | 5.3 |
| 3561264 | Nueva | [CVE-2025-23193] Vulnerabilidad de divulgación de información en SAP NetWeaver Application Server ABAP | Media | 5.3 |
| 3287784 | Nueva | [CVE-2023-24527] Control de acceso inadecuado en SAP NetWeaver AS Java para el servicio de despliegue | Media | 5.3 |
| 3553753 | Nueva | [CVE-2025-24872] Falta de verificación de autorización en la plataforma ABAP de SAP (Marco de Construcción ABAP) | Media | 4.3 |
| 3550027 | Nueva | [CVE-2025-24869] Vulnerabilidad de divulgación de información en SAP NetWeaver Application Server Java | Media | 4.3 |
| 3547581 | Actualización | [CVE-2025-23190] Falta de verificación de autorización en SAP NetWeaver y plataforma ABAP (ST-PI) | Media | 4.3 |
| 3426825 | Nueva | [CVE-2025-23191] Envenenamiento de caché mediante vulnerabilidad de manipulación de encabezados en SAP Fiori para SAP ERP | Baja | 3.1 |
¿Te ayudamos?
Contamos con una base de consultores certificados por SAP que brindan un excelente servicio de Administración SAP así como el análisis de vulnerabilidades SAP y remediación de las mismas.
Puedes contactarnos a través del formulario de contacto o a través de nuestra dirección de correo electrónico
En AURIT estaremos encantados de poder ayudarte.