SAP Security Patch Day Enero 2026

Publicado hace 5 meses 16-01-2026

Como cada mes, SAP publicó su Security Patch Day, una serie de actualizaciones para corregir vulnerabilidades encontradas en sus productos. En esta ocasión se incluyen 17 correcciones para 4 vulnerabilidades críticas y 4 vulnerabilidades altas, entre otras, que afectan a varios productos de su catálogo empresarial.

CVE-2026-0501
Esta vulnerabilidad, con una calificación CVSS3.1 de 9.9 (crítica), nace de una validación insuficiente en la entrada de dos de SAP S/4HANA Prive Cloud and On-Premise. Un atacante autenticado podría ejecutar consultas SQL para leer, modificar y eliminar información de la base de dos (SQL Injection) poniendo en riesgo la Confidencialidad, Integridad y Disponibilidad de la información.

CVE-2026-0500
Con una calificación CVSS3.1 de 9.6, esta vulnerabilidad es causada por un componente de terceros en SAP Willy Introscope Enterprise Manager, permitiendo a un atacante no autenticado crear archivos JLNP (Java Network Launch Protocol) maliciosos accesibles a través de una URL pública. Cuando una víctima accede a la URL desde Willy Introscope Server, éste ejecuta los comandos dentro del archivo en la máquina de la víctima (RCE o Remote Code Execution).

CVE-2026-0498
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 9.1 y afecta a SAP S/4HANA Prive Cloud and On-Premise. La vulnerabilidad proviene de un módulo habilitado de forma remota, el cual puede permitir a un atacante con privilegios de administrador modificar arbitrariamente el código fuente de programas existentes sobrepasando las revisiones esenciales de autenticación.

CVE-2026-0491
Esta vulnerabilidad afecta a SAP Landscape Trasnformation, cuenta con una calificación CVSS3.1 de 9.1 y podría permitir a un atacante con privilegios de administrador la ejecución de código malicioso en ABAP code/OS, en el sistema, ignorando revisiones esenciales de autorización. Lo anterior puede ser utilizado para crear una puerta trasera, creando un riesgo de compromiso tota del sistema.

CVE-2026-0492
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.8 y afecta a SAP Hana. Puede permitir a un atacante con credenciales válidas de cualquier usuario cambiar a cualquier otro usuario, pudiendo ganar privilegios administrativos al hacer esto.

CVE-2026-0507
Debido a una falla en SAP Application Server for ABAP y SAP NetWeaver RFCSDK, un atacante con credenciales válidas puede ganar privilegios administrativos y acceso adyacente en la red a través de la carga de contenido malicioso al servidor donde se encuentren estos productos. Si alguna de las aplicaciones procesa el contenido malicioso, podría ejecutar código malicioso que se encuentre en éste, así como comandos arbitrarios del sistema operativo, permitiendo un posible compromiso total del sistema. La vulnerabilidad asociada a esta falla tiene una calificación CVSS3.1 de 8.4.

CVE-2026-0506
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 8.1 y afecta al producto SAP NetWeaver Application Server ABAP y ABAP Platform debido a que un atacante autenticado puede utilizar una función de RFC para ejecutar comandos arbitrarios en el sistema ABAP afectado a través de FORMs.

Versiones Afectadas

CVE-2026-0501 y CVE-2026-0498

Productos Versiones afectadas Versiones corregidas
SAP S/4HANA Prive Cloud and On-Premise S4CORE 102
Desde la versión 103 hasta la versión 109		 Versión 110 en adelante

CVE-2026-0500
Productos Versiones afectadas Versiones corregidas
SAP Wily Introscope Enterprise Manager (WorkStion) 10.8 Versión 10.9 en adelante

CVE-2026-0491
Productos Versiones afectadas Versiones corregidas
SAP Landscape Transformion DMIS 2011_1_700 https://me.sap.com/notes/3697979
2011_1_710
2011_1_730
2011_1_731
2018_1_752
2020

CVE-2026-0492
Productos Versiones afectadas Versiones corregidas
SAP HANA database HDB 2.00 https://me.sap.com/notes/3697979  
                      
CVE-2026-0507
Productos Versiones afectadas Versiones corregidas
SAP Application Server for ABAP and SAP NetWeaver RFCSDK KRNL64UC 7.53 https://me.sap.com/notes/3697979
NWRFCSDK 7.50
KERNEL 7.53
7.54
7.77
7.89
7.93
9.16

CVE-2026-0506
Productos Versiones afectadas Versiones corregidas
SAP NetWeaver Application Server ABAP and ABAP Platform SAP_BASIS 700 https://me.sap.com/notes/3697979
SAP_BASIS 701
SAP_BASIS 702
SAP_BASIS 731
SAP_BASIS 740
SAP_BASIS 750
SAP_BASIS 751
SAP_BASIS 752
SAP_BASIS 753
SAP_BASIS 754
SAP_BASIS 755
SAP_BASIS 756
SAP_BASIS 757
SAP_BASIS 758
SAP_BASIS 816

Recomendaciones

  • Debido a que no hay mitigaciones temporales, se recomienda actualizar los productos afectados lo antes posible.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Arghire, I. (2026, Enero 13). SAP’s January 2026 Security Updates Patch Critical Vulnerabilities. Security Week. Recuperado el 15 de Enero de 2026, en:  https://www.securityweek.com/saps-january-2026-security-updates-patch-critical-vulnerabilities/
  2. Fritsch, T. (2026, Enero 13). SAP Security Notes: January 2026 Patch Day. Onapsis. Recuperado el 15 de Enero de 2026, en: https://onapsis.com/blog/patch-day-january-2026/
  3. Knop, D. (2026, Enero 13). SAP Patchday: Developers fix 17 security vulnerabilities in January. Heise Online. Recuperado el 15 de Enero de 2026, en: https://www.heise.de/en/news/SAP-Patchday-Developers-fix-17-security-vulnerabilities-in-January-11139195.html

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más