El segundo semestre del año comenzó con un ciclo de actualizaciones de seguridad que demanda una mirada estratégica por parte de los equipos técnicos. Este martes (14), SAP lanzó su ya tradicional paquete mensual de correcciones, compuesto por un conjunto integral de parches que podrían ayudar a proteger los ecosistemas corporativos.
En total, el paquete de julio entregó 16 nuevas Security Notes, 1 advisory de seguridad de GitHub y 3 actualizaciones de notas lanzadas en meses anteriores. La gran advertencia de esta ronda es la presencia de 4 notas clasificadas como HotNews (Críticas), incluyendo una falla severa de corrupción de memoria que alcanzó la puntuación máxima de 9.9 en el índice CVSS.
A continuación, detallamos los componentes afectados en este ciclo para que su operación tenga la posibilidad de trazar una ruta de corrección más segura, buscando minimizar los posibles impactos en la disponibilidad.
El panorama general de julio de 2026
En total, las 20 notas de seguridad (incluyendo las actualizaciones) se distribuyen de la siguiente manera:
- 4 notas Críticas (HotNews): CVSS entre 9.0 y 9.9
- 6 notas de Alta Gravedad: CVSS entre 7.6 y 8.8
- 8 notas de Gravedad Media: CVSS entre 4.1 y 6.1
- 2 notas de Baja Gravedad: CVSS entre 3.3 y 3.7
Los 4 aspectos críticos destacados (HotNews) en foco
Las vulnerabilidades HotNews de este mes parecen afectar componentes centrales del ecosistema SAP. Es aconsejable que los equipos técnicos realicen el mapeo de impacto para evaluar si los componentes listados podrían estar activos y expuestos en su entorno (landscape) actual.
1. Corrupción de memoria en AS ABAP (Nota #3747367 — CVSS 9.9)
La nota de mayor gravedad del mes afectaría al SAP NetWeaver Application Server ABAP (abarcando diversas versiones de Kernel, desde la 7.22 hasta la 9.20). Las fallas de corrupción de memoria podrían permitir que atacantes comprometan el funcionamiento del sistema, lo que podría impactar la estabilidad y la seguridad del servidor de aplicaciones.
2. HTTP Request Smuggling en SAP Approuter (Nota #3720138 — CVSS 9.1)
Afectaría la biblioteca del SAP Approuter (paquete node.js en versiones anteriores a la 20.10.0). Las vulnerabilidades de Request Smuggling ocurren cuando hay discrepancias en la forma en que diferentes servidores (como front-end y back-end) procesan solicitudes HTTP, lo que podría permitir la interceptación de datos de usuarios o la posible evasión de controles de seguridad.
3. Credenciales de ejemplo inseguras en SAP Commerce Cloud (Nota #3753495 — CVSS 9.1)
Afectaría a SAP Commerce Cloud (versiones HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21). La presencia de credenciales de ejemplo predeterminadas no alteradas o expuestas podría facilitar el acceso no autorizado de agentes malintencionados al sistema, lo que podría comprometer la integridad del comercio electrónico.
4. ACTUALIZACIÓN: Directory Traversal en AS Java Web Container (Nota #3727078 — CVSS 9.0)
Se trataría de una actualización importante de una nota lanzada originalmente en el Patch Day de junio de 2026. Esta afectaría el Web Container del SAP NetWeaver Application Server Java (versión ENGINEAPI 7.50). La vulnerabilidad podría permitir que accesos específicos visualicen archivos fuera del directorio estándar de la aplicación. Si ya aplicó esta nota el mes pasado, sería sumamente recomendable revisar la actualización liberada hoy.
Vulnerabilidades de alta gravedad: Puntos de atención
Además de las notas críticas, el mes de julio trae 6 notas de alta gravedad que también podrían requerir una planificación rápida, destacando:
- Múltiples vulnerabilidades en Apache Camel (Nota #3758101 — CVSS 8.8): Afectaría al SAP Integration Suite (Edge Integration Cell).
- DLL Hijacking en SAProuter para Windows (Nota #3692165 — CVSS 8.4): Una falla clásica de seguridad que afectaría al SAProuter que se ejecuta en sistemas operativos Microsoft Windows, lo que podría permitir la ejecución de código no deseado.
- Múltiples fallas en Apache Tomcat (Nota #3763800 — CVSS 8.1): Afectaría nuevamente a SAP Commerce Cloud.
Cómo planificar la actualización de su entorno SAP
La aplicación de correcciones en sistemas de misión crítica suele requerir una planificación técnica rigurosa para intentar mitigar los riesgos de indisponibilidad.
Sugerimos que los equipos de Basis consideren seguir un flujo estructurado:
- Mapeo de impacto: Verificar qué componentes activos de su entorno podrían estar expuestos a las notas de este mes (con especial atención al Kernel ABAP y al SAP Commerce Cloud).
- Validación de compatibilidad: Evaluar si la aplicación de las notas podría llegar a afectar las personalizaciones internas o las integraciones de red.
- Entornos de homologación: Es recomendable ejecutar todas las pruebas en entornos de calidad (QAS) antes de su transporte a producción.
El Grupo BravoIT | CloudBasis podría apoyar a su empresa
Nuestro equipo de especialistas certificados en SAP Basis acompaña los ciclos de seguridad en tiempo real. Podríamos ayudar a su empresa a analizar el posible impacto de estas vulnerabilidades en su entorno específico, buscando conducir la aplicación de las notas técnicas en ventanas de mantenimiento más controladas y seguras.
Para intentar asegurar una mayor estabilidad y protección de su sistema de gestión, puede comunicarse con nuestros especialistas técnicos hoy mismo para explorar una evaluación preventiva de su entorno.cialistas técnicos hoy mismo para una evaluación preventiva de su entorno.



Publicado por:

