Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
TM RedHotCyber 320x100 042514
Fortinet 970x120px
¡10 de 10! SAP lanza parches de seguridad para vulnerabilidades críticas en NetWeaver.

¡10 de 10! SAP lanza parches de seguridad para vulnerabilidades críticas en NetWeaver.

Redazione RHC : 10 septiembre 2025 10:13

SAP publicó el martes actualizaciones de seguridad para abordar diversas vulnerabilidades. Entre estas, tres son particularmente críticas en el entorno de SAP Netweaver.

Estas vulnerabilidades de seguridad podrían permitir al atacante ejecutar código de su elección, así como cargar archivos específicos sin restricciones específicas.

Esto ocurre después de que una falla de seguridad crítica en SAP S/4HANA, recientemente parcheada por la compañía (CVE-2025-42957, con una puntuación CVSS de 9,9), fuera explotada activamente. Esta noticia llega poco después de que Pathlock y SecurityBridge dieran a conocer el problema, y los parches se lanzaron tan solo unos días después.

SAP ha corregido una vulnerabilidad adicional altamente crítica en la plataforma SAP S/4HANA (CVE-2025-42916, con una puntuación CVSS de 8,1), que podría haber sido explotada por un atacante con permisos elevados de informes ABAP para eliminar datos en las tablas de bases de datos de su elección, siempre que no estuvieran cubiertas por un grupo de permisos dedicado.

Las vulnerabilidades se enumeran a continuación:

  • CVE-2025-42944 (puntuación CVSS: 10.0) – Una vulnerabilidad de deserialización en SAP NetWeaver podría permitir que un atacante no autenticado envíe una carga maliciosa a un puerto abierto a través del módulo RMI-P4, lo que provoca la ejecución de comandos del sistema operativo.
  • CVE-2025-42922 (Puntuación CVSS: 9.9) – Vulnerabilidad de operaciones de archivos inseguras en SAP NetWeaver AS Java que podría permitir que un atacante autenticado, sin ser administrador, cargue un archivo arbitrario.
  • CVE-2025-42958 (Puntuación CVSS: 9.1) – Vulnerabilidad de falta de comprobación de autenticación en la aplicación SAP NetWeaver en IBM i-series que podría permitir que usuarios no autorizados con privilegios elevados lean, modifiquen o eliminen información confidencial, así como accedan a funciones administrativas o privilegiadas.

«CVE-2025-42944 permite que un atacante no autenticado ejecute un sistema operativo arbitrario. comandos enviando una carga maliciosa a un puerto abierto», dijo Onapsis. «Un exploit exitoso puede comprometer por completo la aplicación. Como solución temporal, los clientes deberían añadir el filtrado del puerto P4 a nivel de ICM para evitar que hosts desconocidos se conecten al puerto P4.»

Para garantizar la máxima protección, es crucial que los usuarios instalen las actualizaciones necesarias lo antes posible, enfatiza SAP, a pesar de que no hay pruebas de que los exploits recientemente revelados se utilizaran con fines maliciosos.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
Gemini 3.0 Pro: Google se prepara para el salto generacional y pretende superar a GPT-5 y Claude 4.5
Di Redazione RHC - 25/10/2025

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

Immagine del sito
Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.
Di Redazione RHC - 25/10/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...