La vulnerabilidad permite a usuarios autenticados con bajos privilegios ejecutar comandos SQL arbitrarios para leer, modificar y eliminar datos. SAP desactivó el código ejecutable vulnerable como solución definitiva.
SAP publicó el 14 de abril de 2026 un total de 19 nuevas notas de seguridad más una actualización a una nota previa, como parte de su ciclo mensual de parches. La más crítica de todas es una vulnerabilidad de SQL Injection con CVSS 9.9 que afecta a SAP Business Planning and Consolidation y SAP Business Warehouse, productos utilizados extensivamente por empresas de América Latina para planificación financiera, consolidación de resultados y generación de reportes corporativos.
El fallo, identificado como CVE-2026-27681, permite a un usuario autenticado con privilegios bajos ejecutar sentencias SQL arbitrarias que pueden leer, modificar y eliminar datos de la base de datos subyacente, comprometiendo la confidencialidad, integridad y disponibilidad del sistema completo.
El vector de ataque explota un programa ABAP vulnerable que permite a usuarios con credenciales válidas cargar un archivo conteniendo comandos SQL maliciosos que posteriormente se ejecutan sin validación adecuada. Según detalla Onapsis Research Labs, cuyo equipo colaboró directamente con SAP en la identificación y corrección de esta vulnerabilidad, un atacante podría extraer datos financieros sensibles, alterar modelos de planificación, modificar cifras de consolidación, corromper contenidos de base de datos y generar disrupciones operativas significativas.
La nota de seguridad SAP #3719353 resuelve el problema desactivando completamente todo el código ejecutable dentro del programa afectado, una solución drástica que refleja la gravedad del riesgo.
La segunda vulnerabilidad en orden de severidad corresponde a CVE-2026-34256 con CVSS 7.1, clasificada como alta prioridad. Este fallo de verificación de autorización ausente afecta SAP ERP y SAP S/4HANA tanto en despliegues on-premise como en nube privada. Un atacante autenticado puede ejecutar un programa ABAP específico para sobrescribir sin autorización cualquier programa ejecutable existente de ocho caracteres.
Aunque el impacto principal recae en la disponibilidad del sistema, también existe un impacto limitado en la integridad confinado al reporte afectado, mientras que la confidencialidad permanece sin afectación según la evaluación de SAP.
Las 15 vulnerabilidades restantes de severidad media abarcan una amplia superficie de ataque en el portafolio de productos SAP. Se incluyen problemas de divulgación de información en SAP Human Capital Management para S/4HANA, verificaciones de autorización ausentes en múltiples servicios OData de S/4HANA, vulnerabilidades de Cross-Site Scripting en SAP Supplier Relationship Management y SAP BusinessObjects Business Intelligence Platform, además de fallas de Open Redirect en SAP NetWeaver Application Server ABAP. Esta última, identificada como CVE-2026-34257 con CVSS 6.1, podría permitir a un atacante no autenticado crear URLs maliciosas que redirijan a víctimas hacia páginas controladas por el adversario.
Para organizaciones latinoamericanas que operan con SAP, la prioridad inmediata debe ser aplicar la nota de seguridad #3719353 en todos los sistemas que ejecuten SAP Business Planning and Consolidation versión HANABPC 810, BPC4HANA 300 y SAP Business Warehouse en versiones 750 hasta 758 y 816.
Como medida temporal mientras se despliega el parche, SAP recomienda revocar el objeto de autorización S_GUI con actividad 60 (Upload) de las cuentas de usuario, aunque esta alternativa puede generar efectos secundarios en otras aplicaciones. El parche debe instalarse en las próximas 24 horas en sistemas expuestos a redes corporativas o con usuarios que mantienen credenciales de acceso, dado que el vector requiere autenticación pero no privilegios elevados.
FUENTE ORIGINAL
SAP↗CURADO POR
Ricardo Burgos