Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Actualización de seguridad de SAP julio 2026: parche para fallo crítico de SAP NetWeaver


SAP ha publicado sus actualizaciones de seguridad de julio de 2026, destacando la corrección de una vulnerabilidad crítica de corrupción de memoria en el servidor de aplicaciones SAP NetWeaver ABAP. El problema más grave, identificado como CVE-2026-44747, posee una puntuación CVSS de 9.9 y afecta a diversas versiones del kernel de SAP en entornos empresariales. En total, la compañía publicó 16 nuevas notas de seguridad el 14 de julio.





SAP ha publicado sus actualizaciones del Día del Parche de Seguridad de julio de 2026, abordando una crítica vulnerabilidad de corrupción de memoria en el Servidor de Aplicaciones ABAP de SAP NetWeaver.

El problema más grave, identificado como CVE-2026-44747, tiene una puntuación CVSS de 9.9 y afecta a múltiples versiones del núcleo (kernel) de SAP utilizadas en entornos empresariales.

El 14 de julio, SAP publicó 16 nuevas notas de seguridad y un aviso de seguridad de GitHub, junto con tres actualizaciones de notas publicadas anteriormente. Se insta a los administradores a revisar los sistemas afectados y aplicar las correcciones como prioridad a través del Portal de Soporte de SAP.

El fallo crítico de NetWeaver ABAP se describe en la Nota de Seguridad de SAP 3747367. El CVE-2026-44747 se describe como una vulnerabilidad de corrupción de memoria que puede ocurrir cuando una aplicación gestiona incorrectamente las operaciones de memoria.

Esto podría permitir potencialmente que un atacante cambie la ejecución del programa, acceda a información sensible, provoque la caída de los servicios o ejecute código malicioso bajo ciertas condiciones.

La vulnerabilidad afecta a varias versiones del kernel de SAP y de NetWeaver, incluidas KRNL64NUC y KRNL64UC 7.22 y 7.22EXT, así como las versiones de kernel 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19 y 9.20.

Debes verificar los componentes de software específicos y los niveles de parche en tu entorno SAP antes de aplicar la corrección.

El vector CVSS asignado indica que la explotación se realiza a través de la red, requiere una baja complejidad de ataque y demanda privilegios bajos, sin necesidad de interacción del usuario.

Actualización de Seguridad de SAP Julio 2026

Una explotación exitosa podría impactar significativamente la confidencialidad, integridad y disponibilidad. Además, el alcance del ataque ha cambiado, lo que significa que un componente comprometido puede afectar a recursos más allá de su límite de seguridad original.

El Día del Parche de julio de SAP también aborda otras dos vulnerabilidades críticas. El CVE-2026-27690 es un fallo de contrabando de solicitudes HTTP (HTTP request smuggling) en versiones de SAP Approuter anteriores a la 20.10.0, con una calificación de 9.1.

Los atacantes pueden explotar el contrabando de solicitudes para evadir los controles de seguridad del front-end o interferir en la forma en que los sistemas back-end procesan las solicitudes HTTP.

Otro problema crítico, el CVE-2026-44761, afecta a las versiones de SAP Commerce Cloud HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21.

Este fallo se deriva de credenciales de muestra inseguras y tiene una puntuación CVSS de 9.1. Las credenciales predeterminadas, expuestas o protegidas inadecuadamente pueden permitir el acceso no autorizado a los entornos afectados.

SAP también actualizó su nota de seguridad de junio para el CVE-2026-40128, una vulnerabilidad de salto de directorio (directory traversal) en el Contenedor Web del Servidor de Aplicaciones Java de SAP NetWeaver.

Esta vulnerabilidad tiene una puntuación CVSS de 9.0. Podría permitir a los atacantes acceder o modificar archivos fuera de la ruta de directorio prevista.

Tus equipos de seguridad deben priorizar la Nota de SAP 3747367, validar la compatibilidad del kernel, probar los parches en entornos que no sean de producción y programar un despliegue acelerado para las instancias de NetWeaver orientadas a internet o críticas para el negocio.

Nota SAPCVEVulnerabilidadProducto AfectadoPrioridadCVSS
3747367CVE-2026-44747Corrupción de MemoriaSAP NetWeaver Application Server ABAPCrítica9.9
3720138CVE-2026-27690HTTP Request SmugglingSAP ApprouterCrítica9.1
3753495CVE-2026-44761Credenciales de Muestra InsegurasSAP Commerce CloudCrítica9.1
3727078CVE-2026-40128Salto de DirectorioSAP NetWeaver AS Java Web ContainerCrítica9.0
3758101CVE-2026-40860, CVE-2026-40453, CVE-2026-33454Múltiples vulnerabilidades Apache CamelSAP Integration Suite Edge Integration CellAlta8.8
3692165CVE-2026-0487Secuestro de DLLSAProuter para Microsoft WindowsAlta8.4
3748227CVE-2026-44752Cross-Site ScriptingSAP NetWeaver AS Java Configuration WizardAlta8.2
3741519CVE-2026-44745Redireccionamiento AbiertoSAP ApprouterAlta8.1
3763800CVE-2026-43512, CVE-2026-41293, CVE-2026-43515Múltiples vulnerabilidades Apache TomcatSAP Commerce CloudAlta8.1
3773304CVE-2026-58233Ejecución Remota de CódigoSAP Change and Transport System Attach Tool (ctsattach)Alta7.6
3746678CVE-2026-44759Cross-Site ScriptingSAP NetWeaver Enterprise PortalMedia6.1
GHSA-p8gx-753q-v89pCVE-2026-44767Evasión de Lista Blanca / Inyección CSS Cross-OriginUI5 Web Components BaseMedia6.1
3537373CVE-2026-44769Inyección SQLSAP S/4HANA Project Management (PPM-PRO)Media5.5
3754659CVE-2026-44760Cross-Site ScriptingSAP NetWeaver AS ABAP Business Server PagesMedia4.7
3515598CVE-2026-44771Falta Verificación de AutorizaciónSAP S/4HANA Draft OperationMedia4.3
3713902CVE-2026-44770Falta Verificación de AutorizaciónSAP S/4HANA Create Single PaymentMedia4.3
3682699CVE-2026-24315Salto de RutaSAP Fiori LaunchpadMedia4.2
3155685CVE-2026-44768Configuración de Seguridad IncorrectaSAP CRM WebClient UIMedia4.1
3732522CVE-2026-44753Divulgación de InformaciónSAP HANA Extended Application Services, classic modelBaja3.7
3726899CVE-2025-68161Potencial vulnerabilidad de librería Apache Log4jSAP NetWeaver AS JavaBaja3.3

También deberías restringir el acceso de red innecesario a los servidores de aplicaciones SAP, revisar las cuentas privilegiadas, monitorizar los registros del sistema en busca de actividad anormal y asegurarte de que haya copias de seguridad disponibles antes del mantenimiento.

Los Días del Parche de Seguridad de SAP proporcionan el canal regular del proveedor para publicar Notas de Seguridad correctivas, y SAP recomienda que revises e implementes las notas pertinentes para proteger tus entornos SAP.



Fuentes:
https://cybersecuritynews.com/sap-security-update-july-2026/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.