- SAP lanza 27 nuevas notas de seguridad y 3 revisiones en julio
- Siete vulnerabilidades críticas, incluida una con puntuación CVSS máxima
- El parche afecta a productos clave como S/4HANA, NetWeaver y SAPCAR
- Implementación inmediata recomendada para proteger entornos SAP
La última actualización de seguridad de SAP de julio ha llegado con importantes advertencias para todas las empresas que gestionan entornos con su software. Este parche, publicado en el Security Patch Day, incorpora soluciones para un conjunto relevante de vulnerabilidades que estaban presentes en diferentes productos del ecosistema SAP, poniendo especial énfasis en la necesidad de actuar con rapidez ante los riesgos identificados.
En el boletín de seguridad se han incluido 27 nuevas notas y se han actualizado otras 3 publicadas previamente, un movimiento que subraya la naturaleza dinámica y cambiante de las amenazas informáticas actuales. Entre todas las vulnerabilidades resueltas, siete han sido clasificadas como críticas por su elevado riesgo potencial, recomendando SAP el despliegue urgente de los parches en los sistemas afectados.
Vulnerabilidad máxima en la gestión de proveedores
Destaca especialmente la falla identificada como CVE-2025-30012, que afecta a la función de gestión de relaciones con proveedores (cabina de subastas en vivo). Este error, presente en la versión 7.14 de SRM_Server, ha recibido la puntuación más alta posible de CVSS, un 10.0, lo que indica peligro extremo de explotación si el sistema permanece sin proteger.
Este problema no es aislado, ya que se relaciona con otras vulnerabilidades (CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 y CVE-2025-30018), lo que sugiere que existen múltiples maneras de explotar los fallos en los módulos afectados. Los administradores que gestionan la cabina de subastas en vivo de SAP deben priorizar el despliegue de las actualizaciones para mitigar estos riesgos.
Otros errores críticos y su impacto
El parche de SAP de julio también soluciona otras seis vulnerabilidades catalogadas como críticas (todas ellas con puntuación 9.1 en la escala CVSS), relacionadas con problemas de inyección de código y deserialización insegura que afectan componentes clave como S/4HANA, SAP SCM, y el Portal Empresarial NetWeaver.
La vulnerabilidad CVE-2025-42967, por ejemplo, permite la inyección de código en versiones recientes de S/4HANA y SAP SCM, mientras que otras fallas resueltas pueden permitir la ejecución de código malicioso en los servidores, comprometiendo la seguridad y confidencialidad de los datos empresariales.
Entre los productos afectados por estas vulnerabilidades están también NetWeaver ABAP Platform y SAPCAR, por lo que el alcance del parche es amplio y afecta tanto a infraestructura como a servicios y herramientas de gestión.
Vulnerabilidades de gravedad alta y media
Además de los problemas críticos, SAP ha divulgado varias vulnerabilidades de prioridad alta y media que afectan al servidor ABAP, SAP Business Warehouse y otras aplicaciones de la plataforma. Por ejemplo, se ha parcheado el error CVE-2025-42959, que permitía acceder a sistemas sin la debida autenticación en versiones antiguas y modernas de NetWeaver.
Otras vulnerabilidades corregidas en esta ronda de actualizaciones incluyen vulnerabilidades XSS en SAP NetWeaver y Business Warehouse, travesía de directorios en SAPCAR y fallos de escalada de privilegios en diferentes aplicaciones. La utilidad SAPCAR, fundamental para la gestión de paquetes y archivos de SAP, requiere atención especial por la variedad de riesgos que abordaban los parches.
El listado de vulnerabilidades es extenso y abarca desde problemas de denegación de servicio hasta errores en la verificación de autorizaciones, por lo que organizaciones con implementaciones muy diversas pueden verse potencialmente afectadas.
La actualización de julio refuerza la importancia de combinar mecanismos de gestión de parches efectivos con buenas prácticas de seguridad, ya que la diversidad de productos de SAP exige una vigilancia constante frente a nuevas amenazas. Los fallos abordados en esta ocasión afectan tanto a la autenticación, como a la autorización y la integridad de los datos, lo que podría poner en riesgo a las organizaciones si no se actúa con diligencia.
Este ciclo de actualización de SAP pone de manifiesto la creciente sofisticación de los ataques y la necesidad de mantener los sistemas actualizados, especialmente en infraestructuras críticas. La rápida aplicación de estos parches contribuirá a proteger los datos y operaciones de las empresas que dependen del entorno SAP a diario.