Mastodon Mastodon Mastodon Mastodon

SAP corrige fallos críticos en NetWeaver, Approuter y Commerce Cloud

Foto del autor

CyberSecureFox Editorial Team

Publicado:

La empresa SAP ha publicado el paquete de actualizaciones de seguridad de julio de 2026, en el que se han corregido tres vulnerabilidades críticas: una corrupción de memoria en SAP NetWeaver Application Server ABAP (CVSS 9.9), HTTP request smuggling en SAP Approuter (CVSS 9.1) y el uso de credenciales por defecto en SAP Commerce Cloud (CVSS 9.1). Las tres vulnerabilidades permiten obtener acceso no autorizado a los datos o interrumpir el funcionamiento de los sistemas. Por el momento no se han detectado indicios de explotación activa, pero la criticidad de las puntuaciones exige que la actualización sea prioritaria.

Detalles técnicos de las vulnerabilidades

CVE-2026-44747: corrupción de memoria en NetWeaver ABAP (CVSS 9.9)

La más grave de las tres, CVE-2026-44747, es una vulnerabilidad de tipo out-of-bounds write en SAP NetWeaver Application Server ABAP. Un atacante autenticado puede explotar errores lógicos en la gestión de memoria, lo que provoca corrupción de memoria. Las consecuencias incluyen acceso no autorizado a los datos, su modificación o la completa indisponibilidad del sistema.

La puntuación CVSS 9.9 —prácticamente máxima— se explica por el hecho de que para su explotación basta con una autenticación básica y el impacto afecta a los tres aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad.

Según los investigadores de Onapsis, como solución temporal de mitigación se propone deshabilitar todos los nodos ICF con una propiedad determinada en la transacción SICF. Sin embargo, esta solución de mitigación bloquea la apertura de transacciones en SAP GUI for HTML, lo que la hace inaceptable para muchas organizaciones. Se recomienda instalar la versión actualizada del núcleo ABAP Kernel.

CVE-2026-27690: HTTP request smuggling en SAP Approuter (CVSS 9.1)

La vulnerabilidad CVE-2026-27690 afecta a las instalaciones de SAP Approuter en entornos que no utilizan Cloud Foundry. Un atacante no autenticado puede enviar una solicitud HTTP especialmente manipulada que provoca una desincronización entre solicitudes y respuestas (request-response desynchronization). Esto permite interceptar respuestas destinadas a otros usuarios, así como llevar a cabo ataques de tipo denegación de servicio.

Resulta especialmente peligrosa la ausencia de requisitos de autenticación: el ataque puede realizarse desde el exterior sin ningún tipo de credenciales. Las organizaciones que utilicen SAP Approuter fuera de Cloud Foundry deben considerar esta vulnerabilidad como prioritaria.

CVE-2026-44761: credenciales por defecto en SAP Commerce Cloud (CVSS 9.1)

La vulnerabilidad CVE-2026-44761 está relacionada con el hecho de que en SAP Commerce Cloud puede permanecer un cliente OAuth 2.0 de ejemplo con credenciales públicamente documentadas, tomadas de ejemplos de configuración en el portal SAP Help Portal. Si estos datos no se han cambiado, un atacante no autenticado puede obtener un token de acceso válido y, a través de las API, leer y modificar los datos del sistema.

Según la descripción en el NVD, una explotación satisfactoria tiene un alto impacto en la confidencialidad y la integridad, pero no afecta a la disponibilidad.

De acuerdo con Onapsis, la vulnerabilidad surgió a raíz de scripts de configuración que anteriormente se proporcionaban en el portal SAP Help Portal. Estos scripts, destinados al desarrollo y las pruebas, configuraban clientes OAuth 2.0 con credenciales codificadas y ampliamente conocidas. Según se indica, las versiones antiguas de la documentación no contenían una advertencia explícita sobre la inadmisibilidad de importar estas configuraciones en un entorno productivo.

Evaluación del impacto

Las tres vulnerabilidades afectan a componentes clave del ecosistema SAP, ampliamente utilizados en empresas grandes y medianas de todo el mundo. NetWeaver ABAP es la base de la mayoría de las instalaciones SAP, Approuter proporciona la enrutación en escenarios en la nube e híbridos y Commerce Cloud da servicio a plataformas de comercio electrónico.

Están especialmente expuestas las organizaciones que:

  • Utilizan SAP NetWeaver ABAP con acceso mediante SAP GUI for HTML
  • Han desplegado SAP Approuter fuera del entorno Cloud Foundry
  • Han ejecutado scripts de configuración de la documentación del SAP Help Portal en el entorno productivo de Commerce Cloud sin sustituir las credenciales

Recomendaciones de mitigación

  • CVE-2026-44747: instalar la versión actualizada del núcleo ABAP Kernel. La solución de mitigación que consiste en deshabilitar nodos ICF en la transacción SICF solo es aceptable como medida temporal y no es adecuada para organizaciones que dependen de SAP GUI for HTML.
  • CVE-2026-27690: aplicar el parche incluido en el paquete de actualizaciones de SAP de julio. Las organizaciones con instalaciones de Approuter fuera de Cloud Foundry deben revisar la configuración de enrutamiento y restringir el acceso externo hasta completar la actualización.
  • CVE-2026-44761: realizar una auditoría del entorno productivo de Commerce Cloud para detectar la presencia de un cliente OAuth 2.0 de ejemplo con credenciales por defecto. Si se detecta este cliente, eliminarlo o sustituir el secreto por un valor único y robusto. Las organizaciones que ya hayan eliminado el cliente de ejemplo o cambiado el secreto no están expuestas a esta vulnerabilidad.

Ninguna de las tres vulnerabilidades se ha incluido, en el momento de la publicación, en el catálogo CISA Known Exploited Vulnerabilities ni cuenta con casos confirmados de explotación. No obstante, las puntuaciones CVSS de 9.1 a 9.9 indican claramente la necesidad de actualizar con prioridad: instale los parches del paquete de seguridad de julio de SAP en la próxima ventana de mantenimiento y, en el caso de Commerce Cloud, verifique de inmediato la presencia del cliente OAuth de ejemplo en el entorno productivo, ya que esta comprobación no requiere tiempo de inactividad y puede realizarse de forma inmediata.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.