SAP ha implementado actualizaciones para abordar múltiples vulnerabilidades como parte de sus actualizaciones de seguridad de julio de 2026, incluida una falla crítica en SAP NetWeaver Application Server ABAP.
La vulnerabilidad en cuestión es CVE-2026-44747 (Puntuación CVSS: 9,9), una falla de escritura fuera de límites que permite a un atacante autenticado aprovechar errores lógicos en la administración de la memoria para causar una corrupción de la memoria que podría conducir a un acceso no autorizado a los datos, a su modificación o a la indisponibilidad del sistema.
“Como solución temporal, la nota propone desactivar todos los nodos ICF con una propiedad específica en la transacción SICF”, dijo la firma de seguridad SAP Onapsis. “Dado que la solución alternativa deshabilitará la apertura de transacciones en SAP GUI para HTML, no es una opción para todos los clientes y se recomienda encarecidamente instalar la versión de parche ABAP Kernel”.
SAP también aborda otras dos vulnerabilidades críticas:
- CVE-2026-27690 (Puntuación CVSS: 9,1): una falla de contrabando de solicitud/respuesta HTTP en implementaciones de SAP Approuter en entornos que no son Cloud Foundry que permite a un atacante no autenticado enviar una solicitud HTTP especialmente diseñada que conduce a la desincronización de solicitud-respuesta y da como resultado la exposición de las respuestas del usuario y desencadena ataques de denegación de servicio (DoS).
- CVE-2026-44761 (Puntuación CVSS: 9.1): una falla en el uso de credenciales predeterminadas en SAP Commerce Cloud que podría retener un cliente OAuth 2.0 de muestra con credenciales de muestra documentadas públicamente que se originan en una configuración de muestra proporcionada en la documentación del Portal de ayuda de SAP.
“Si no se modifica, un atacante no autenticado podría usar estas credenciales conocidas para obtener un token de acceso válido e invocar ciertas API para leer y modificar datos”, según una descripción de CVE-2026-44761 en la Base de datos nacional de vulnerabilidad (NVD) del NIST. “La explotación exitosa tiene un alto impacto en la confidencialidad y la integridad, sin ningún impacto en la disponibilidad”.
Onapsis señaló que la vulnerabilidad proviene de scripts de configuración de muestra proporcionados previamente en el Portal de ayuda de SAP. Estos scripts, originalmente destinados al desarrollo y las pruebas, configuran clientes OAuth 2.0 con credenciales bien conocidas y codificadas.
“Las versiones anteriores de la documentación no advertían explícitamente a los clientes contra la importación de estas configuraciones predeterminadas a producción”, señaló. “Un atacante no autenticado puede aprovechar estas credenciales predeterminadas disponibles públicamente para obtener un token de acceso válido. Con este token, puede invocar API específicas para leer y alterar datos del sistema. La explotación requiere que el cliente ejecute el script de muestra y conserve el cliente OAuth 2.0 resultante en producción sin reemplazar el secreto codificado”.
Vale la pena señalar que los clientes que eliminaron el cliente de muestra o reemplazaron el secreto con un valor único y sólido no se ven afectados por el error. Se recomienda a los clientes que auditen sus entornos de producción para detectar la presencia del cliente OAuth 2.0 de muestra afectado. Si el cliente existe, debe eliminarse.
Aunque no hay evidencia de que las fallas hayan sido explotadas en la naturaleza, se recomienda aplicar las actualizaciones necesarias para una protección óptima.



