SAP Security Patch Day (Diciembre)
Como es habitual cada segundo martes del mes la compañía SAP público en su sitio web oficial avisos de seguridad que abordan vulnerabilidades en sus productos. Este mes de diciembre publico 14 vulnerabilidades, de las cuales 3 obtuvieron una clasificación critica, 5 una clasificación alta y 6 fueron clasificadas como media. A continuación, se describen a detalle las vulnerabilidades clasificadas como críticas.
CVE-2025-42880
Esta vulnerabilidad obtuvo una puntuación de CVSS de 9.9 y afecta directamente a SAP Solution Manager concretamente a su componente ST 720, que es un paquete de software con herramientas internas, módulos y bibliotecas que permiten que Solution Manager administre, supervise, monitore y conecte con otros sistemas. Esta falla ocasiona que el ST 720 realice validaciones insuficientes al comprobar la seguridad de los datos de entrada, lo que podría permitir que autores de amenazas logren ejecutar código arbitrario de forma remota con privilegios de administrador.
Es importante mencionar que esta vulnerabilidad fue la que obtuvo la puntuación de CVSS más alta este mes y esto es debido a la facilidad de explotación de la falla. Esto depende de las configuraciones del entorno SAP Solution Manager ya que si los servicios están expuestos públicamente o no se cuenta con autentificaciones, autores de amenazas pueden aprovechar y enviar solicitudes especialmente diseñas sin necesidad de credenciales de autentificación.
CVE-2025-55754
Este CVE aunque afecta directamente al contenedor de servlets Apache Tomcat también vuelve vulnerable a SAP Commercial Cloud, lo cual es debido a que Tomcat está configurado y embebido como el servidor web que ejecuta por defecto los componentes Java y Rest.
Esta vulnerabilidad provoca que Tomcat no realice correctamente las comprobaciones de seguridad al recibir secuencias ANSI de escape. Autores de amenazas podrían aprovechar la vulnerabilidad y enviar URL o encabezados HTTP especialmente diseñados para provocar que Tomcat no valide el contenido, lo les permitiría alterar registros de log y ejecutar código arbitrario. El CVE obtuvo una puntuación de CVSS de 9.6 otorgada por SAP debido a su criticidad.
CVE-2025-42928
Esta vulnerabilidad afecta a SAP jConnect – SDK for ASE, el cual es un kit para desarrollo utilizado para conectar aplicaciones Java con las bases de datos ASE de Sybase SAP. Este CVE provoca fallas al convertir datos, objetos y procesos externos; esto es conocido como deserialización de datos no confiable ya que el sistema no valida correctamente los datos. Autores de amenazas envían datos especialmente diseñados para así lograr explotar la vulnerabilidad.
A este CVE se le asigno una puntuación de 9.1 que, aunque sigue siendo critica, es un poco mas compleja de explotar ya que los atacantes requieren credenciales con privilegios elevados para impactar la falla, pero en caso de lograrlo podrán ejecutar código arbitrario en el sistema y comprometer la disponibilidad, confidencialidad y integridad de las bases de datos.
Versiones Afectadas
CVE-2025-42880
| Producto | Versión afectada | Versión parcheada |
| SAP Solution Manager | SAP Solution Manager 7.2 | Revisar aviso de seguridad de SAP: https://me.sap.com/notes/3685270 |
CVE-2025-55754
| Producto | Versión afectada | Versión parcheada |
| SAP Commercial Cloud / Apache Tomcat | desde 11.0.0-M1 hasta 11.0.10 | 11.0.11 o superior |
| SAP Commercial Cloud / Apache Tomcat | desde 10.1.0-M1 hasta 10.1.44 | 10.1.45 o superior |
| SAP Commercial Cloud / Apache Tomcat | desde 9.0.40 hasta 9.0.108 | 9.0.109 o superior |
CVE-2025-42928
| Producto | Versión afectada | Versión parcheada |
| SAP jConnect – SDK for ASE | 16.0.4 | Revisar aviso de seguridad de SAP: https://me.sap.com/notes/3685286 |
| SAP jConnect – SDK for ASE | 16.1 | Revisar aviso de seguridad de SAP: https://me.sap.com/notes/3685286 |
Recomendaciones
- En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a las versiones parcheadas.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- SAP. (2025, Diciembre 08). SAP Security Patch Day - December 2025. Recuperado el 09 de Diciembre de 2025, en: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
- Divya. (2025, Diciembre 09). SAP Security Patch Day Fixes Critical Flaws in Solution Manager, NetWeaver & More. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. Recuperado el 09 de Diciembre de 2025, en: https://gbhackers.com/sap-security-patch-day-fixes-critical-flaws/
- Baran, G. (2025, Diciembre 9). SAP Security Patch Day: Fix for Critical Vulnerabilities in SAP Solution Manager, NetWeaver, and Other. Cyber Security News. Recuperado el 09 de Diciembre de 2025, en: https://cybersecuritynews.com/sap-security-patch-day-december/
- Knop, D. (2025, Diciembre). SAP Patch Day: 14 Security Warnings at Year-End. Security. Recuperado el 09 de Diciembre de 2025, en: https://www.heise.de/en/news/SAP-Patch-Day-14-Security-Warnings-at-Year-End-11107869.html
