La actualizacion de seguridad de SAP de junio de 2026 incluye 20 parches nuevos y actualizados, entre ellos seis notas HotNews y tres de prioridad alta. Dos vulnerabilidades criticas en SAP NetWeaver AS ABAP –un bypass de autenticacion SAML y un error de corrupcion de memoria– alcanzan puntuaciones CVSS de 9,9 y 9,8 respectivamente.
SAP ha publicado la actualizacion de seguridad de junio de 2026, que comprende 20 parches nuevos y actualizados para un amplio conjunto de vulnerabilidades en NetWeaver, Commerce Cloud, S/4HANA y componentes relacionados. Seis notas estan clasificadas como HotNews –la categoria de maxima gravedad de SAP– y tres tienen estado de prioridad alta. Cuatro de las notas HotNews son nuevas en este ciclo; dos son actualizaciones de avisos publicados por primera vez en mayo. Los Onapsis Research Labs (ORL) contribuyeron a la correccion de seis de los dieciseis nuevos avisos, incluidas dos notas HotNews y una de prioridad alta.
Resumen del Dia de Parches de junio
El ciclo de junio de 2026 cierra con un numero de hallazgos criticos notablemente elevado. Cuatro vulnerabilidades HotNews hasta entonces desconocidas se divulgaron junto con dos actualizaciones, lo que genera una carga de trabajo considerable para los administradores. Las tres notas de prioridad alta incluyen tanto nuevos hallazgos como una revision de un aviso de mayo. En conjunto, el paquete abarca omision de autenticacion, gestion de memoria, integridad de cadenas de dependencias, seguridad de aplicaciones web y escalada de privilegios.
Nota HotNews #3746332 — SAML XML Signature Wrapping (CVSS 9,9)
La nota de seguridad SAP #3746332, desarrollada conjuntamente con los Onapsis Research Labs, corrige una vulnerabilidad critica de XML Signature Wrapping en la capa de autenticacion SAML de SAP NetWeaver AS ABAP y la ABAP Platform. El fallo permite a un atacante autenticado con permisos de usuario estandar interceptar un mensaje SAML firmado validamente y construir un documento XML manipulado con datos de identidad alterados. Dado que la aplicacion no verifica correctamente la firma XML, los datos de identidad falsificados son aceptados, lo que otorga al atacante acceso no autorizado a datos sensibles de usuario y la capacidad de perturbar el funcionamiento normal del sistema. El impacto afecta a los tres pilares: confidencialidad, integridad y disponibilidad. SAP reconoce en el aviso que la unica medida de mitigacion provisional consiste en deshabilitar por completo la autenticacion SAML, lo que supone una restriccion operativa significativa para las organizaciones que dependen de la gestion de identidad federada.
Nota HotNews #3717897 — Corrupcion de memoria via RFC (CVSS 9,8)
La nota de seguridad #3717897, tambien con autoria de ORL, aborda una vulnerabilidad de corrupcion de memoria en el nucleo del servidor de aplicaciones SAP NetWeaver AS ABAP. El nucleo no valida correctamente el protocolo RFC (llamada de funcion remota), lo que permite a un atacante no autenticado enviar una solicitud RFC manipulada que explota errores logicos en la gestion de memoria. Una explotacion exitosa conduce a la corrupcion de memoria, con el potencial de ejecutar codigo arbitrario o provocar una interrupcion del servicio. El vector de ataque no autenticado y la ausencia de interaccion del usuario elevan la puntuacion CVSS a 9,8, situando esta vulnerabilidad entre las mas peligrosas desde el punto de vista operativo en el ciclo actual.
Nota HotNews #3748262 — Omision de cabeceras en Spring Security (CVSS 9,1)
La nota #3748262 apunta a una vulnerabilidad en Spring Security tal como la utilizan SAP Commerce Cloud y SAP Data Hub. Ambos productos distribuyen una version de la libreria susceptible a CVE-2026-22732. En determinadas condiciones, Spring Security podria no escribir cabeceras de respuesta HTTP, incluidas cabeceras de seguridad criticas. SAP Commerce Cloud emplea un mecanismo multicapa para establecer cabeceras de seguridad HTTP; sin embargo, este mecanismo no proporciona una alternativa para las cabeceras gestionadas exclusivamente por Spring. El resultado es una reduccion significativa de la proteccion en el lado del cliente, con un impacto sustancial sobre confidencialidad e integridad, mientras que la disponibilidad permanece sin cambios.
Nota HotNews #3727078 — Directory Traversal en el contenedor web Java de NetWeaver (CVSS 9,0)
El equipo de ORL identifico una vulnerabilidad de directory traversal en el contenedor web del servidor de aplicaciones SAP NetWeaver Java, corregida en la nota #3727078. Un atacante no autenticado puede elaborar una solicitud de inicio de sesion HTTP maliciosa que manipula los parametros de inclusion de archivos, habilitando el path traversal y el procesamiento de archivos objetivo. El ataque puede exponer o modificar informacion sensible e inutilizar partes del sistema local. La combinacion de acceso en red sin autenticacion y el alcance del dano potencial situa este hallazgo claramente en la categoria critica.
Notas HotNews actualizadas
Dos notas HotNews actualizadas desde el ciclo de mayo merecen atencion especial. La nota #3747787 trata los paquetes de codigo abierto comprometidos en el modelo de programacion de aplicaciones en la nube de SAP y en el MTA Build Tool, que estuvieron disponibles transitoriamente en el registro npm el 29 de abril de 2026. SAP ha ampliado el aviso para incluir un paquete npm malicioso adicional y valores hash complementarios que permiten a los administradores identificar versiones vulnerables de los paquetes afectados. La nota #3733064 (CVSS 9,6), publicada originalmente en mayo, corrige una comprobacion de autenticacion ausente en la configuracion de SAP Commerce Cloud; la actualizacion de junio introduce revisiones textuales en las secciones Sintoma, Otros terminos, Solucion y Solucion alternativa.
Notas de prioridad alta
La nota de seguridad #3747484 (CVSS 7,4) parchea multiples vulnerabilidades conocidas en Apache Tomcat dentro de SAP Commerce Cloud, catalogadas como CVE-2026-29145, CVE-2025-66614 y CVE-2026-24734. Los fallos afectan a la autenticacion basada en certificados y a los mecanismos de validacion de la aplicacion. La nota proporciona parches que actualizan Apache Tomcat a una version que ya no es susceptible a estos CVE.
La nota #3735546 (CVSS 7,1), desarrollada en colaboracion con Onapsis, identifica un programa en SAP NetWeaver AS ABAP y la ABAP Platform que permite a un atacante autenticado con bajos privilegios sobrescribir informacion de otro usuario, lo que conduce a una escalada de privilegios. El requisito de acceso inicial limitado modera la puntuacion CVSS teorica, pero la ruta de escalada resulta relevante en entornos de uso compartido o multiinquilino.
La nota de seguridad SAP #373247 (CVSS 8,2), publicada por primera vez con la aportacion de ORL en mayo, aborda una vulnerabilidad de inyeccion de comandos del sistema operativo en SAP Forecasting and Replenishment. SAP ha anadido instrucciones de correccion suplementarias en la actualizacion de junio para garantizar una remediacion completa.
Contribuciones adicionales de los Onapsis Research Labs
Ademas de las coautorizaciones en HotNews y prioridad alta, ORL contribuyo a tres notas de prioridad media. La nota #3751691 (CVSS 6,5) corrige una vulnerabilidad de inyeccion SQL en SAP S/4HANA: un modulo de funcion habilitado para RFC puede ser explotado por un atacante autenticado para ejecutar consultas de base de datos no autorizadas y acceder a datos a los que no deberia tener acceso. La nota #3723655 (CVSS 6,1) resuelve un fallo de cross-site scripting reflejado en el servlet JDBC Test de SAP NetWeaver AS Java, donde un atacante no autenticado puede construir una URL con un script malicioso incrustado que se ejecuta en el navegador de la victima. La nota #3715280 (CVSS 4,7) corrige una vulnerabilidad XSS en SAP Wily Introscope Enterprise Manager causada por una codificacion insuficiente de los parametros de URL, lo que permite la inyeccion de scripts en el contexto de la aplicacion.
Evaluacion y medidas recomendadas
El ciclo de junio de 2026 es uno de los mas exigentes de los ultimos meses. Cuatro nuevas divulgaciones HotNews y una huella CVSS combinada reflejan riesgos reales y de alto impacto en autenticacion, seguridad de memoria y capa web. Las organizaciones que ejecutan SAP NetWeaver AS ABAP deben tratar las notas #3746332 y #3717897 como elementos de prioridad de emergencia; el fallo SAML en particular no tiene ninguna solucion alternativa viable mas alla de deshabilitar el mecanismo de autenticacion. Los administradores de Commerce Cloud y Data Hub deben evaluar con prontitud la exposicion derivada de la omision de cabeceras de Spring Security. Onapsis ha confirmado que su plataforma se esta actualizando para reflejar las vulnerabilidades recien divulgadas, lo que permitira a los clientes evaluar su propia exposicion.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de