SAP ha implementado correcciones de seguridad para 13 nuevos problemas de seguridad, incluido un refuerzo adicional para un error de seriedad máxima en SAP NetWeaver AS Java que podría resultar en la ejecución de comandos arbitrarios.
La vulnerabilidad, rastreada como CVE-2025-42944, tiene una puntuación CVSS de 10,0. Se ha descrito como un caso de deserialización insegura.
“Adecuado a una vulnerabilidad de deserialización en SAP NetWeaver, un atacante no autenticado podría explotar el sistema a través del módulo RMI-P4 enviando una carga maliciosa a un puerto campechano”, según una descripción de la bandera en CVE.org.
“La deserialización de objetos Java que no son de confianza podría conducir a la ejecución arbitraria de comandos del sistema operante, lo que representa un detención impacto en la confidencialidad, integridad y disponibilidad de la aplicación”.
Si correctamente SAP abordó la vulnerabilidad por primera vez el mes pasado, la empresa de seguridad Onapsis dijo que la última decisión proporciona salvaguardias adicionales para guarecerse contra el peligro que plantea la deserialización.
“La capa adicional de protección se cimiento en la implementación de un filtro en toda la JVM (jdk.serialFilter) que evita que se deserialicen clases dedicadas”, señaló. “La registro de clases y paquetes recomendados para cerrar se definió en colaboración con la ORL y está dividida en una sección obligatoria y una sección opcional”.
Otra vulnerabilidad crítica a destacar es CVE-2025-42937 (puntuación CVSS: 9,8), una error de cruce de directorio en SAP Print Service que surge como resultado de una acometividad de ruta insuficiente, lo que permite que un atacante no autenticado llegue al directorio principal y sobrescriba los archivos del sistema.
La tercera error crítica parcheada por SAP se refiere a un error de carga de archivos sin restricciones en SAP Supplier Relationship Management (CVE-2025-42910, puntuación CVSS: 9.0) que podría permitir a un atacante cargar archivos arbitrarios, incluidos ejecutables maliciosos que podrían afectar la confidencialidad, integridad y disponibilidad de la aplicación.
Si correctamente no hay evidencia de que estas fallas hayan sido explotadas en la naturaleza, es esencial que los usuarios apliquen los últimos parches y mitigaciones lo ayer posible para evitar amenazas potenciales.
“La deserialización sigue siendo el principal peligro”, dijo Jonathan Stross de Pathlock. “La esclavitud P4/RMI continúa impulsando la exposición crítica en AS Java, con SAP emitiendo una decisión directa y una configuración JVM reforzada para compendiar el injusticia de clase de gadget”.
