El gigante del software empresarial SAP ha lanzado, este 12 de agosto de 2025, su actualización mensual de seguridad, corrigiendo 15 vulnerabilidades en su portfolio de productos, entre ellas tres fallos críticos de inyección de código que han recibido la calificación más alta de severidad posible en la escala CVSS: 9,9.
Los fallos más graves afectan a SAP S/4HANA (en sus versiones Private Cloud y On-Premise) y SAP Landscape Transformation (SLT), plataformas clave que gestionan procesos financieros, de recursos humanos y operaciones críticas para miles de empresas en todo el mundo.
Según SAP, estas vulnerabilidades permiten a atacantes con privilegios mínimos inyectar código ABAP malicioso a través de módulos de función expuestos por RFC, bypasseando controles de autorización y obteniendo así control total sobre los sistemas afectados. Entre los riesgos se encuentran el robo de información financiera y operativa, la manipulación de registros críticos y la interrupción de procesos esenciales de negocio.
Riesgo y recomendaciones
El nivel de riesgo de las vulnerabilidades críticas es extremo, ya que pueden explotarse de forma remota, con baja complejidad y sin interacción del usuario. SAP insta a sus clientes a aplicar inmediatamente los parches, priorizando los sistemas expuestos a internet o que manejen datos sensibles.
El Centre for Cybersecurity Belgium (CCB) ha reforzado la advertencia, recomendando:
- Instalar las actualizaciones de inmediato tras las pruebas correspondientes.
- Mejorar la monitorización y detección para identificar actividad sospechosa.
- Tener presente que la aplicación del parche no elimina compromisos previos.
SAP ha publicado además guías de configuración segura para reforzar la protección de sus entornos. Las organizaciones que no apliquen las actualizaciones corren el riesgo de que sus sistemas sean rápidamente explotados por cibercriminales.
Fuente: https://gbhackers.com/
