- CVE-2025-42887 en SAP Solution Manager permite la inyección de código no autenticado y la toma de control completo del sistema
- La vulnerabilidad obtuvo una puntuación de 9,9/10; parche lanzado en la actualización de noviembre de 2025 de SAP
- SAP también solucionó CVE-2024-42890, una falla 10/10 en SQL Anywhere Monitor
SAP Solution Manager, una plataforma de gestión del ciclo de vida de las aplicaciones (ALM) con decenas de miles de organizaciones de usuarios, tenía una vulnerabilidad de gravedad crítica que permitió a los actores de amenazas hacerse cargo por completo de los sitios comprometidos. puntos finaleshan advertido los expertos.
Los investigadores de seguridad SecurityBridge, que notificaron a SAP después de encontrar la falla, la describieron como una vulnerabilidad de “saneamiento de entrada faltante”, que permite a actores de amenazas no autenticados insertar código malicioso al llamar a un módulo de función habilitado de forma remota.
“Esto podría proporcionar al atacante el control total del sistema, lo que tendría un alto impacto en la confidencialidad, la integridad y la disponibilidad del sistema”, explicó la Base de Datos Nacional de Vulnerabilidad (NVD).
SAP corrige un error 10/10
El error ahora se rastrea como CVE-2025-42887 y se le asignó una puntuación de gravedad de 9,9/10 (crítico).
Ahora hay un parche disponible públicamente y, aunque los usuarios de SAP fueron notificados previamente, los investigadores una vez más instan a todos a aplicarlo lo antes posible, ya que el riesgo solo aumentará en el futuro:
“Hoy se lanzó un parche público para esta vulnerabilidad, que podría acelerar la ingeniería inversa y el desarrollo de exploits, por lo que se recomienda aplicar un parche pronto”, dijo SecurityBridge en su anuncio.
“Cuando descubrimos una vulnerabilidad con una puntuación de prioridad de 9,9 sobre 10, sabemos que estamos ante una amenaza que podría dar a los atacantes un control total del sistema”, afirmó Joris van de Vis, director de investigación de seguridad de SecurityBridge.
“CVE-2025-42887 es particularmente peligroso porque permite inyectar código de un usuario con pocos privilegios, lo que lleva a un compromiso total de SAP y de todos los datos contenidos en el sistema SAP. Esta vulnerabilidad de inyección de código en SAP Solution Manager representa exactamente el tipo de debilidad crítica de la superficie de ataque que nuestros laboratorios de investigación de amenazas trabajan incansablemente para identificar y eliminar. Los sistemas SAP son la columna vertebral de las operaciones comerciales, y vulnerabilidades como esta nos recuerdan por qué la investigación de seguridad proactiva es no negociable.”
La vulnerabilidad se solucionó como parte del Patch Day de noviembre de SAP, una actualización acumulativa que abordó 18 errores nuevos y actualizaciones de dos errores observados anteriormente. Además del mencionado anteriormente, SAP solucionó una falla 10/10 en la variante sin GUI de SQL Anywhere Monitor. Este error se rastrea como CVE-2024-42890 y es otro caso de credenciales codificadas.
“SQL Anywhere Monitor (sin GUI) incorporó credenciales en el código, exponiendo los recursos o la funcionalidad a usuarios no deseados y brindando a los atacantes la posibilidad de ejecutar código arbitrario”, se lee en la descripción. SQL Anywhere Monitor es una herramienta de alerta y monitoreo de bases de datos y parte del paquete SQL Anywhere.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
