Tercer Security Patch Day del año
Security Patch Day - Marzo 25
Análisis del Security Patch Day para los muy cafeteros
SAP SECURITY
Destacados del Análisis de las Notas de Seguridad de SAP de marzo del 25:
- Resumen de marzo – Veinticinco parches de seguridad SAP nuevos y actualizados lanzados, incluyendo cinco High Priority Notes
- Transacción SA38 parcheada – La vulnerabilidad permite la ejecución de la funcionalidad del ABAP Class Builder, lo que conlleva un alto impacto en la confidencialidad, integridad y disponibilidad
- Best Practice Note para SAP BTP — Se requiere especial atención para clientes que desarrollan aplicaciones Java implementadas
con el Spring Framework
SAP ha lanzado veinticinco SAP Security Notes en su Patch Day de marzo (incluyendo las notas que fueron lanzadas o actualizadas desde el último Patch Tuesday). Esto incluye cinco High Priority Notes.
Dos de las cinco High Priority Notes son actualizaciones de parches lanzados anteriormente.
SAP Security Note #3567974 con una puntuación CVSS de 8.1, fue lanzada inicialmente en el Patch Day de SAP de febrero y parchea una vulnerabilidad en SAP App Router. La sección “Symptom” de la nota fue actualizada y se agregó una nota FAQ (#3571636).
SAP Security Note #3483344 fue extendida con correcciones para otros componentes de software afectados. La nota parchea una vulnerabilidad crítica de Missing Authorization Check en SAP PDCE que puede tener un alto impacto en la confidencialidad de la aplicación.
Las nuevas High Priority Notes en detalle
SAP Security Note #3563927 con una puntuación CVSS de 8.8, afecta a una amplia gama de clientes SAP. Aborda una vulnerabilidad crítica en la transacción SA38 de un SAP NetWeaver Application Server ABAP que permite el acceso a la funcionalidad del Class Builder, la cual debería estar restringida al ABAP Development Workbench. Dejarla sin parchear expone todas las aplicaciones a un alto riesgo respecto de su confidencialidad, integridad y disponibilidad.
SAP Security Note #3569602 con una puntuación CVSS de 8.8, parchea una vulnerabilidad de Cross-Site Scripting (XSS) en SAP Commerce, causada por la biblioteca open source swagger-ui. La función explore de Swagger UI, que era vulnerable a un ataque XSS basado en el DOM, permite que un atacante no autenticado inyecte código malicioso desde fuentes remotas. Un exploit exitoso puede tener un alto impacto negativo en la confidencialidad, integridad y disponibilidad de la aplicación. Afortunadamente, SAP señala que el exploit requiere una interacción significativa del usuario, ya que se necesita convencer a la víctima de introducir una carga maliciosa en un campo de entrada. Como solución alternativa, los clientes pueden eliminar cualquier uso de swagger-ui en SAP Commerce o bloquear el acceso a las consolas de Swagger.
SAP Security Note #3566851 con una puntuación CVSS de 8.6, parchea una vulnerabilidad de Denegación de Servicio (DOS) y una condición de error no controlada en SAP Commerce Cloud. La aplicación incluye una versión de Apache Tomcat vulnerable a CVE-2024-38286 y CVE-2024-52316. La nota proporciona actualizaciones que incluyen versiones parcheadas de Tomcat.
Sobre la SAP Security Note con CVSS 0.0
SAP Security Note #3576540 con una puntuación CVSS de 0.0 (no, no es un error tipográfico), ofrece información de mejores prácticas sobre aplicaciones Java personalizadas en SAP BTP implementadas con el Spring Framework. Para este tipo de aplicaciones, los desarrolladores suelen utilizar el Spring Boot Activator, una herramienta que expone varios endpoints URL que ofrecen datos de la aplicación en tiempo real, facilitando la depuración y el monitoreo. Sin embargo, sin medidas de seguridad adecuadas, estos endpoints pueden introducir vulnerabilidades graves. La nota enumera en detalle los endpoints afectados y describe las condiciones específicas para las aplicaciones vulnerables.
Publicación completa del SAP Security Patch Day 03/25
Con veinticinco SAP Security Notes, incluyendo cinco High Priority Notes, el Patch Day de SAP de marzo vuelve a ser un día muy ocupado. Es el primer Patch Day que trae una nota con CVSS 0.0. Sin embargo, los clientes de SAP BTP estarán de acuerdo en que esta nota es un ejemplo perfecto de que, al priorizar las SAP Security Notes, no basta con fijarse únicamente en las puntuaciones CVSS.
| Nota SAP | Tipo | Descripción | Código | Prioridad | CVSS |
|---|---|---|---|---|---|
| 3569602 | New | [CVE-2025-27434] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP Commerce (Swagger UI) | CEC-SCC-COM-BC-BCOM | High | 8.8 |
| 3563927 | New | [CVE-2025-26661] Falta de verificación de autorización en SAP NetWeaver (ABAP Class Builder) | BC-DWB-TOO-CLA | High | 8.8 |
| 3566851 | New | [CVE-2024-38286] Vulnerabilidades múltiples en Apache Tomcat dentro de SAP Commerce Cloud | CEC-SCC-COM-BBA-COM | High | 8.6 |
| 3567974 | Update | [CVE-2025-24876] Omisión de autenticación por inyección de código de autorización en SAP Approuter | BC-XS-APR | High | 8.1 |
| 3483344 | Update | [CVE-2024-39592] Falta de verificación de autorización en SAP PDCE | FIN-BA | High | 7.7 |
| 3561045 | New | [CVE-2025-26658] Autenticación rota en SAP Business One (Service Layer) | SBO-CRO-SEC | Medium | 6.8 |
| 3552824 | New | [CVE-2025-26659] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Application Server ABAP (aplicaciones basadas en SAP GUI for HTML) | BC-FES-WGU | Medium | 6.1 |
| 3562390 | New | [CVE-2025-25242] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Application Server ABAP | BC-FES-WGU | Medium | 6.1 |
| 3552144 | New | [CVE-2025-25244] Falta de verificación de autorización en SAP Business Warehouse (Process Chains) | BW-WHM-DST-PC | Medium | 5.7 |
| 3557469 | New | [CVE-2025-25245] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP BusinessObjects Business Intelligence Platform (Web Intelligence) | BI-RA-WBI-FE-HTM | Medium | 5.4 |
| 3567246 | New | [CVE-2025-27431] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP NetWeaver Application Server Java | BC-WD-UR | Medium | 5.4 |
| 3561792 | New | [CVE-2025-23194] Falta de verificación de autenticación en SAP NetWeaver Enterprise Portal (componente OBN) | EP-PIN-OBN | Medium | 5.3 |
| 3558132 | New | [CVE-2025-0071] Vulnerabilidad de divulgación de información en SAP Web Dispatcher e Internet Communication Manager | BC-CST-IC | Medium | 4.9 |
| 3557459 | New | [CVE-2025-0062] Vulnerabilidad de Cross-Site Scripting (XSS) en SAP BusinessObjects Business Intelligence Platform (Web Intelligence) | BI-RA-WBI-FE-HTM | Medium | 4.7 |
| 3474392 | New | [CVE-2025-26656] Falta de verificación de autorización en S/4HANA (Gestión de registros de información de compras) | MM-FIO-PUR-IR | Medium | 4.3 |
| 3565835 | New | [CVE-2025-27433] Vulnerabilidades de control de acceso en SAP S/4HANA (Gestión de extractos bancarios) | FI-FIO-AR-PAY | Medium | 4.3 |
| 3557655 | New | [CVE-2025-26660] Vulnerabilidad de control de acceso en aplicaciones SAP Fiori (Posting Library) | FI-FIO-GL-TRA | Medium | 4.3 |
| 3557131 | New | [CVE-2025-23188] Falta de verificación de autorización en SAP S/4HANA (RBD) | FS-RBD | Medium | 4.3 |
| 3475427 | Update | [CVE-2024-41736] Vulnerabilidad de divulgación de información en SAP Permit to Work | PM-FIO-WCM | Medium | 4.3 |
| 3549494 | New | [CVE-2025-23185] Divulgación de información en SAP BusinessObjects Business Intelligence Platform | BI-BIP-LCM | Medium | 4.1 |
| 3562415 | New | [CVE-2024-38819] Vulnerabilidades múltiples en Spring Framework dentro de SAP Commerce Cloud y SAP Datahub | CEC-SCC-PLA-PL | Low | 3.7 |
| 3561861 | New | [CVE-2025-27430] Server Side Request Forgery (SSRF) en SAP CRM y SAP S/4 HANA (Interaction Center) | CRM-IC-BF | Low | 3.5 |
| 3347991 | New | [CVE-2025-26655] Falta de verificación de autorización en SAP JIT (Outbound) | IS-A-JIT | Low | 3.1 |
| 3568865 | New | [CVE-2025-27432] Falta de verificación de autorización en SAP Electronic Invoicing for Brazil (eDocument Cockpit) | CA-GTF-CSC-EDO | Low | 2.4 |
| 3576540 | New | Open Source Security Advisory: Best Practices for Securing Spring Boot Actuator Endpoints for applications running on BTP | BC-CP-CF-CRTM | Low | 0.0 |
¿Te ayudamos?
Contamos con una base de consultores certificados por SAP que brindan un excelente servicio de Administración SAP así como el análisis de vulnerabilidades SAP y remediación de las mismas.
Puedes contactarnos a través del formulario de contacto o a través de nuestra dirección de correo electrónico
En AURIT estaremos encantados de poder ayudarte.