Underc0de - La Casa de los Informáticos

La multinacional alemana SAP ha publicado su actualización de seguridad correspondiente a mayo de 2026, corrigiendo un total de 15 vulnerabilidades que afectan a múltiples productos empresariales. Entre los fallos corregidos destacan dos vulnerabilidades críticas identificadas en SAP Commerce Cloud y SAP S/4HANA, plataformas ampliamente utilizadas por grandes corporaciones, minoristas globales y organizaciones que dependen de entornos ERP y comercio electrónico en la nube.

La actualización cobra especial relevancia debido al creciente interés de los ciberdelincuentes en atacar infraestructuras empresariales críticas, especialmente aquellas relacionadas con plataformas ERP, comercio digital y sistemas de gestión financiera. Los nuevos parches buscan prevenir posibles escenarios de ejecución remota de código, robo de información sensible, ataques de inyección SQL y compromisos de infraestructura empresarial.

Vulnerabilidad crítica en SAP Commerce Cloud permite ejecución remota de código

El fallo más grave corregido por SAP fue identificado como CVE-2026-34263 y afecta directamente a SAP Commerce Cloud, la plataforma de comercio electrónico empresarial utilizada por numerosas compañías internacionales para gestionar operaciones de venta online, catálogos digitales y procesos de transacciones comerciales.

Según explicó SAP, la vulnerabilidad se origina debido a una configuración incorrecta de Spring Security, un framework ampliamente utilizado para proteger aplicaciones Java empresariales. Esta mala configuración provoca una ausencia de comprobación de autenticación que podría permitir que atacantes no autenticados carguen configuraciones maliciosas e inyecten código arbitrario en servidores vulnerables.

Como consecuencia, un atacante remoto podría ejecutar código en el servidor comprometido sin necesidad de credenciales válidas, obteniendo potencialmente control sobre el entorno afectado.

La compañía indicó que la explotación exitosa de esta vulnerabilidad tendría un impacto severo sobre los tres pilares fundamentales de la seguridad informática:

• Confidencialidad
• Integridad
• Disponibilidad

Esto convierte a CVE-2026-34263 en una amenaza crítica para organizaciones que ejecutan entornos SAP expuestos a internet o infraestructuras híbridas conectadas a servicios cloud.

SAP S/4HANA también afectado por una vulnerabilidad crítica SQL Injection[/b]

La segunda vulnerabilidad crítica parcheada por SAP fue registrada como CVE-2026-34260 y afecta a SAP S/4HANA, la moderna suite ERP en la nube que reemplazará progresivamente al tradicional ERP ECC local.

SAP S/4HANA es actualmente uno de los pilares tecnológicos más importantes para grandes organizaciones, ya que centraliza procesos financieros, logísticos, recursos humanos, cadena de suministro y operaciones empresariales críticas.

De acuerdo con el aviso de seguridad publicado por SAP, la vulnerabilidad permite ataques de inyección SQL de baja complejidad. El problema surge porque la aplicación concatena directamente entradas proporcionadas por el usuario dentro de consultas SQL sin aplicar los mecanismos adecuados de validación o sanitización.

Este fallo podría permitir que un atacante con privilegios básicos:

• Acceda a información sensible almacenada en la base de datos
• Manipule consultas SQL
• Provoque interrupciones del servicio
• Genere fallos o bloqueos de la aplicación

Aunque SAP señaló que la integridad de los datos no se vería comprometida directamente, la confidencialidad y disponibilidad sí podrían verse gravemente afectadas.

La inyección SQL continúa siendo una de las técnicas más utilizadas por actores maliciosos debido a su efectividad para comprometer bases de datos corporativas y extraer información crítica.

SAP corrige fallos de alta y media gravedad

Además de las dos vulnerabilidades críticas, el boletín de seguridad de mayo de 2026 incluye correcciones para:

• Un fallo de alta gravedad
• Once vulnerabilidades de gravedad media

Entre los problemas solucionados se encuentran:

• Inyección de comandos
• Comprobaciones de autorización faltantes
• Vulnerabilidades Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Denegación de servicio (DoS)

Estos tipos de vulnerabilidades representan un riesgo considerable para entornos empresariales complejos, especialmente en organizaciones con arquitecturas SAP integradas con aplicaciones web, APIs y servicios cloud externos.

CISA ya ha catalogado múltiples vulnerabilidades SAP explotadas activamente

Aunque SAP indicó que actualmente no existen evidencias públicas de explotación activa de las vulnerabilidades corregidas este mes, el historial reciente demuestra que las plataformas SAP son un objetivo prioritario para grupos de ransomware y actores APT.

La Cybersecurity and Infrastructure Security Agency (CISA) ha incorporado en los últimos años al menos 14 vulnerabilidades de SAP dentro de su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Dos de estos fallos fueron utilizados en ataques de ransomware dirigidos contra organizaciones empresariales, evidenciando el alto valor que poseen los entornos SAP para los ciberdelincuentes.

Los sistemas ERP contienen información extremadamente sensible relacionada con:

• Finanzas corporativas
• Datos de clientes
• Procesos internos
• Credenciales administrativas
• Inventarios
• Operaciones comerciales

Por esta razón, cualquier vulnerabilidad crítica en plataformas SAP puede convertirse rápidamente en un vector de acceso inicial para campañas de espionaje, robo de datos o extorsión.

Ataques recientes a paquetes oficiales SAP npm elevan la preocupación

La publicación de estos parches ocurre además en un contexto de creciente presión sobre la cadena de suministro de software de SAP.

Recientemente, varios paquetes oficiales SAP npm fueron comprometidos en un ataque dirigido a desarrolladores con el objetivo de robar credenciales y tokens de autenticación.

Los ataques a la cadena de suministro representan actualmente una de las amenazas más peligrosas para empresas tecnológicas y grandes corporaciones, ya que permiten comprometer múltiples organizaciones simultáneamente mediante componentes legítimos alterados.

La tendencia demuestra cómo los atacantes están enfocando sus esfuerzos en plataformas ampliamente utilizadas en entornos empresariales críticos.

SAP continúa siendo un objetivo estratégico para los ciberdelincuentes

Como principal proveedor mundial de software empresarial, SAP mantiene presencia en prácticamente todos los sectores económicos globales. La compañía presta servicios a 99 de las 100 empresas más grandes del mundo y reportó ingresos superiores a 36.000 millones de euros durante el año fiscal 2025.

El enorme alcance de SAP convierte a sus soluciones en un objetivo altamente atractivo para grupos de ransomware, ciberdelincuentes financieros y actores patrocinados por estados.

Los expertos en ciberseguridad recomiendan a las organizaciones aplicar inmediatamente las actualizaciones publicadas, revisar configuraciones de seguridad expuestas a internet y reforzar mecanismos de monitoreo sobre sistemas SAP críticos.

Asimismo, se aconseja implementar:

• Segmentación de red
• Autenticación multifactor
• Monitoreo continuo de logs
• Gestión proactiva de vulnerabilidades
• Auditorías periódicas de configuraciones SAP

La rápida aplicación de parches sigue siendo una de las medidas más efectivas para reducir el riesgo de compromiso en entornos empresariales modernos.

Fuente: https://www.bleepingcomputer.com/