SAP lanzó sus actualizaciones de seguridad de diciembre que abordan 14 vulnerabilidades en una variedad de productos, incluidas tres fallas de gravedad crítica.
El más grave (puntuación CVSS: 9,9) de todos los problemas es CVE-2025-42880un problema de inyección de código que afecta a SAP Solution Manager ST 720.
«Debido a la falta de saneamiento de entrada, SAP Solution Manager permite que un atacante autenticado inserte código malicioso al llamar a un módulo de función habilitado de forma remota», se lee en la descripción de la falla.
«Esto podría proporcionar al atacante el control total del sistema, lo que tendría un alto impacto en la confidencialidad, integridad y disponibilidad del sistema».
SAP Solution Manager es la plataforma central de monitoreo y gestión del ciclo de vida del proveedor utilizada por las empresas para el monitoreo del sistema, la configuración técnica, la mesa de servicio e incidentes, el centro de documentación y la gestión de pruebas.
La siguiente falla más grave que SAP solucionó este mes se refiere a múltiples vulnerabilidades de Apache Tomcat que afectan los componentes de SAP Commerce Cloud en las versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21.
Los fallos se rastrean en SAP Commerce Cloud con un único identificador, CVE-2025-55754dada una calificación de gravedad CVSS de 9,6.
SAP Commerce Cloud es una plataforma de comercio electrónico de nivel empresarial que respalda tiendas en línea a gran escala con catálogos de productos, precios, promociones, pago, gestión de pedidos, cuentas de clientes e integración ERP/CRM. Generalmente lo utilizan grandes minoristas y marcas globales.
El tercer defecto crítico (puntuación CVSS: 9,1) solucionado este mes es CVE-2025-42928una vulnerabilidad de deserialización que afecta a SAP jConnect y que, bajo ciertas condiciones, podría permitir a un usuario con altos privilegios lograr la ejecución remota de código en el objetivo a través de una entrada especialmente diseñada.
SAP jConnect es un controlador JDBC utilizado por desarrolladores y administradores de bases de datos para conectar aplicaciones Java a bases de datos SAP ASE y SAP SQL Anywhere.
SAP diciembre 2025 El boletín también enumera correcciones para cinco fallas de alta gravedad y seis problemas de gravedad media, incluida la corrupción de la memoria, la falta de controles de autenticación y autorización, secuencias de comandos entre sitios y divulgación de información.
Las soluciones de SAP están profundamente integradas en entornos empresariales y gestionan cargas de trabajo sensibles y de alto valor, lo que las convierte en un objetivo valioso para los atacantes.
A principios de este año, los investigadores de SecurityBridge ataques observados en la naturaleza abusar de una falla de inyección de código (CVE-2025-42957) que afecta las implementaciones de SAP S/4HANA, Business One y NetWeaver.
SAP no ha marcado ninguna de las 14 fallas como explotadas activamente en la naturaleza, pero los administradores deberían implementar las correcciones sin demora.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
