Escanear gratis
CRITICALCVE-2025-31330CVSS 9.9

Vulnerabilidad de Inyección de Código en SAP Landscape Transformation (Analysis Platform)

Plataforma

sap

Componente

sap-landscape-transformation-analysis-platform

Corregido en

2011.0.1

2011.0.1

2011.0.1

2011.0.1

AI Confidence: highNVDEPSS 0.4%Revisado: may 2026
Ver en NVD
Guardar

La vulnerabilidad CVE-2025-31330 afecta a SAP Landscape Transformation (SLT) Analysis Platform, permitiendo a un atacante con privilegios de usuario inyectar código ABAP arbitrario a través de una función expuesta por RFC. Esta inyección de código elude los controles de autorización, creando una puerta trasera que puede resultar en la completa toma de control del sistema. Las versiones afectadas son aquellas iguales o inferiores a DMIS 20111700. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por SAP.

Impacto y Escenarios de Ataque

El impacto de esta vulnerabilidad es extremadamente grave. Un atacante exitoso puede ejecutar código ABAP arbitrario en el sistema SAP, lo que le permite obtener acceso no autorizado a datos confidenciales, modificar la configuración del sistema, e incluso tomar el control total del servidor. La capacidad de inyectar código ABAP directamente elude los mecanismos de seguridad estándar, lo que hace que esta vulnerabilidad sea particularmente peligrosa. La explotación exitosa podría resultar en la pérdida de datos, interrupción del servicio, y daños a la reputación de la organización. Este tipo de vulnerabilidad, que permite la ejecución de código arbitrario con privilegios elevados, es comparable en gravedad a vulnerabilidades como la que afectó a SAP NetWeaver en el pasado, donde la ejecución de código malicioso comprometió la integridad de la información y la disponibilidad del sistema.

Contexto de Explotación

CVE-2025-31330 fue publicado el 8 de abril de 2025. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. La vulnerabilidad se ha añadido al catálogo KEV de CISA, lo que subraya su importancia. Se recomienda a los administradores de SAP que tomen medidas inmediatas para mitigar el riesgo.

Quién Está en Riesgotraduciendo…

Organizations heavily reliant on SAP systems for critical business processes are at significant risk. Specifically, deployments utilizing older versions of the Analysis Platform (≤DMIS 20111700) are particularly vulnerable. Companies with limited security resources or those lacking robust access control policies are also at increased risk, as they may struggle to implement the necessary mitigations effectively.

Pasos de Deteccióntraduciendo…

• linux / server:

journalctl -u saprouter -f | grep -i "RFC_CALL_FUNCTION"

• generic web:

curl -I <SAP_RFC_ENDPOINT>

• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly affect databases. • windows / supply-chain: N/A - This vulnerability does not directly affect Windows systems. • wordpress / composer / npm: N/A - This vulnerability does not directly affect WordPress or related components.

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.39% (60% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentesap-landscape-transformation-analysis-platform
ProveedorSAP_SE
Rango afectadoCorregido en
DMIS 2011_1_700 – DMIS 2011_1_7002011.0.1
2011_1_710 – 2011_1_7102011.0.1
2011_1_730 – 2011_1_7302011.0.1
2011_1_731 – 2011_1_7312011.0.1

Clasificación de Debilidad (CWE)

CWE-94

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 411 días desde la divulgación

Mitigación y Workarounds

La mitigación principal para CVE-2025-31330 es aplicar la actualización de seguridad proporcionada por SAP. Si la actualización no puede aplicarse inmediatamente, se recomienda restringir el acceso a la función RFC vulnerable. Esto se puede lograr mediante la configuración de controles de acceso estrictos en el sistema SAP, limitando el acceso a usuarios autorizados. Además, se recomienda monitorear los registros del sistema en busca de actividad sospechosa, como intentos de inyección de código o acceso no autorizado a la función RFC. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear intentos de explotación conocidos. Después de aplicar la actualización, confirme que la función RFC vulnerable ya no es accesible sin la autorización adecuada.

Cómo corregirlo

Aplique las actualizaciones y parches proporcionados por SAP para corregir la vulnerabilidad de inyección de código. Consulte la nota SAP 3587115 para obtener instrucciones detalladas sobre cómo aplicar la solución. Restrinja el acceso a la función vulnerable a usuarios de confianza.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-31330 — RCE in SAP Landscape Transformation Analysis Platform?

CVE-2025-31330 is a critical Remote Code Execution vulnerability in SAP Landscape Transformation (Analysis Platform) versions up to DMIS 20111700, allowing attackers to inject ABAP code and potentially compromise the entire system.

Am I affected by CVE-2025-31330 in SAP Landscape Transformation Analysis Platform?

You are affected if you are using SAP Landscape Transformation (Analysis Platform) version DMIS 20111700 or earlier. Immediate mitigation steps are required.

How do I fix CVE-2025-31330 in SAP Landscape Transformation Analysis Platform?

A patch is currently unavailable. Mitigate by restricting RFC access to the vulnerable function module, implementing WAF rules, and monitoring system logs.

Is CVE-2025-31330 being actively exploited?

While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of active exploitation.

Where can I find the official SAP advisory for CVE-2025-31330?

Refer to the official SAP Security Notes for the latest information and updates regarding CVE-2025-31330: [https://www.sap.com/security/bulletins.html](https://www.sap.com/security/bulletins.html)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs