Escanear gratis
CRITICALCVE-2025-27429CVSS 9.9

Vulnerabilidad de Inyección de Código en SAP S/4HANA (Nube Privada o On-Premise)

Plataforma

sap

Componente

sap-s-4hana

Corregido en

4.0.1

103.0.1

104.0.1

105.0.1

106.0.1

107.0.1

108.0.1

AI Confidence: highNVDEPSS 0.4%Revisado: may 2026
Ver en NVD
Guardar

La vulnerabilidad CVE-2025-27429 afecta a SAP S/4HANA versión 102–S4CORE 102. Esta falla de seguridad permite a un atacante con privilegios de usuario inyectar código ABAP arbitrario a través de un módulo de función expuesto vía RFC, eludiendo los controles de autorización. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso total del sistema, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos. Se recomienda actualizar a la versión corregida tan pronto como sea posible.

Impacto y Escenarios de Ataque

El impacto de CVE-2025-27429 es extremadamente grave. Un atacante que explote esta vulnerabilidad puede obtener acceso irrestricto al sistema SAP S/4HANA. Esto incluye la capacidad de leer, modificar y eliminar datos confidenciales, ejecutar comandos arbitrarios en el servidor y potencialmente moverse lateralmente a otros sistemas en la red. La inyección de código ABAP arbitrario permite a los atacantes evadir los mecanismos de seguridad estándar, lo que hace que la detección y la respuesta sean significativamente más difíciles. La falta de controles de autorización adecuados amplifica el riesgo, permitiendo que un usuario con privilegios limitados obtenga control total del sistema. Este escenario es comparable a la creación de una puerta trasera persistente en el sistema, lo que permite el acceso no autorizado incluso después de la aplicación de parches iniciales.

Contexto de Explotación

CVE-2025-27429 ha sido publicado el 8 de abril de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad (CVSS 9.9) y la facilidad relativa con la que se puede explotar. Actualmente no se han reportado campañas de explotación activas a gran escala, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de explotación. Se recomienda monitorear de cerca los sistemas SAP S/4HANA para detectar signos de actividad maliciosa. Se espera que esta vulnerabilidad sea agregada al catálogo KEV de CISA en breve.

Quién Está en Riesgotraduciendo…

Organizations running SAP S/4HANA version 102 are at significant risk. This includes businesses across various industries that rely on SAP for core business processes, particularly those with extensive use of RFC interfaces. Shared hosting environments or deployments with weak user privilege management are especially vulnerable.

Pasos de Deteccióntraduciendo…

• sap: Examine SAP system logs for unusual RFC calls or ABAP code execution patterns. Specifically, look for calls to the vulnerable function module.

zgrep -r 'vulnerable_function_module' /sap/…/log/

• linux / server: Monitor system logs (e.g., /var/log/auth.log) for successful logins from unusual IP addresses or user accounts, followed by suspicious process activity.

journalctl -u saprouter | grep -i error

• generic web: Monitor web server access logs for requests targeting the RFC endpoint.

curl -I <rfc_endpoint>

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.39% (60% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentesap-s-4hana
ProveedorSAP_SE
Rango afectadoCorregido en
S4CORE 102 – S4CORE 1024.0.1
103 – 103103.0.1
104 – 104104.0.1
105 – 105105.0.1
106 – 106106.0.1
107 – 107107.0.1
108 – 108108.0.1

Clasificación de Debilidad (CWE)

CWE-94

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 411 días desde la divulgación

Mitigación y Workarounds

La mitigación principal para CVE-2025-27429 es actualizar SAP S/4HANA a la versión corregida proporcionada por SAP. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Restrinja el acceso al módulo de función vulnerable a través de reglas de firewall y listas de control de acceso (ACL). Implemente un monitoreo exhaustivo de la actividad RFC para detectar patrones sospechosos. Revise y refuerce los controles de autorización para garantizar que los usuarios solo tengan acceso a los recursos que necesitan. Considere la implementación de un sistema de detección de intrusiones (IDS) para identificar y responder a intentos de explotación. Después de la actualización, confirme la mitigación revisando los registros del sistema en busca de actividad inusual y verificando la integridad de los datos críticos.

Cómo corregirlo

Aplique las actualizaciones de seguridad proporcionadas por SAP para corregir la vulnerabilidad de inyección de código. Consulte la nota SAP 3581961 para obtener instrucciones detalladas sobre cómo aplicar el parche correspondiente a su versión de SAP S/4HANA. Es crucial realizar pruebas exhaustivas en un entorno de desarrollo antes de aplicar la actualización en producción.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-27429 — Code Injection in SAP S/4HANA?

CVE-2025-27429 is a critical vulnerability in SAP S/4HANA 102 that allows attackers with user privileges to inject arbitrary ABAP code, potentially leading to full system compromise.

Am I affected by CVE-2025-27429 in SAP S/4HANA?

If you are running SAP S/4HANA version 102, you are potentially affected by this vulnerability. Check SAP's security notes for confirmation and remediation steps.

How do I fix CVE-2025-27429 in SAP S/4HANA?

The recommended fix is to upgrade to a patched version of SAP S/4HANA as soon as possible. Refer to SAP's security notes for specific patch details.

Is CVE-2025-27429 being actively exploited?

While no public exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks. Continuous monitoring is crucial.

Where can I find the official SAP advisory for CVE-2025-27429?

Refer to the official SAP Security Notes on the SAP Support Portal for the latest information and advisory regarding CVE-2025-27429.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs