Publicado por:Hoy, 9 de junio de 2026, SAP publicó su cronograma mensual de actualizaciones de seguridad — el SAP Security Patch Day. El ciclo de este mes exige atención y prioridad por parte de los equipos de TI, Basis y Seguridad de la Información.
En este Patch Day de junio, SAP liberó 15 nuevas Security Notes, de las cuales 4 son clasificadas como HotNews (Críticas), con puntuaciones CVSS que alcanzan un 9.9.
A continuación, detallamos las principales vulnerabilidades y el camino recomendado para que su empresa evalúe y mitigue eventuales riesgos.
El Panorama General de Junio de 2026
En total, las 15 nuevas notas de seguridad se distribuyen de la siguiente manera:
- 4 notas Críticas (HotNews): CVSS entre 9.0 y 9.9
- 2 notas de Alta Severidad: CVSS entre 7.1 y 7.4
- 7 notas de Media Severidad: CVSS entre 4.2 y 6.6
- 2 notas de Baja Severidad: CVSS entre 3.3 y 3.7
Los 4 Puntos Críticos (HotNews) en Foco
Las vulnerabilidades HotNews de este mes afectan componentes específicos del ecosistema SAP, demandando un análisis cuidadoso sobre la necesidad de corrección de acuerdo con el escenario de cada empresa.
1. XML Signature Wrapping en SAML Authentication (Nota #3746332 — CVSS 9.9)
Esta es la nota con mayor puntuación de severidad del ciclo. Afecta la autenticación SAML en SAP NetWeaver AS ABAP y en la plataforma ABAP Platform. Bajo ciertas condiciones, la falla puede permitir la manipulación de aserciones SAML firmadas, lo que posibilita evadir los mecanismos de autenticación y obtener accesos no autorizados.
2. Corrupción de Memoria en AS ABAP (Nota #3746332/CVE-2026-27671 — CVSS 9.8)
Afecta al Application Server ABAP de SAP NetWeaver en diversos kernels (versiones 7.22 a 9.19). La vulnerabilidad está relacionada con la forma en que el sistema procesa peticiones RFC específicas, lo que podría, en escenarios específicos, afectar la integridad de la memoria y la estabilidad del servidor.
3. Vulnerabilidad Spring Security en SAP Commerce Cloud (Nota #3748262 — CVSS 9.1)
Una falla originada en la biblioteca integrada Spring Security afecta a SAP Commerce Cloud y SAP Data Hub (versiones como HY_COM 2205 y COM_CLOUD 2211). Esta permite que usuarios no autenticados evadan ciertos controles de seguridad establecidos, impactando la confidencialidad e integridad de la aplicación de e-commerce.
4. Directory Traversal en AS Java Web Container (Nota #3727078 — CVSS 9.0)
Afecta al Web Container de SAP NetWeaver Application Server Java (versión ENGINEAPI 7.50). Permite que usuarios con accesos específicos visualicen archivos localizados fuera del directorio predeterminado de la aplicación, lo que puede comprometer la confidencialidad de recursos sensibles si no se realiza la corrección correspondiente.
Vulnerabilidades de Alta Severidad en Foco
Además de las notas de seguridad crítica, el ciclo trajo dos correcciones importantes de alta prioridad:
- Vulnerabilidades Apache Tomcat en Commerce Cloud (Nota #3747484 — CVSS 7.4): Corrige vulnerabilidades acumuladas en el servidor Tomcat integrado a SAP Commerce Cloud.
- Ausencia de Verificación de Autorización en AS ABAP (Nota #3735546 — CVSS 7.1): Afecta versiones de
SAP_BASISde la 700 a la 816, permitiendo que usuarios con privilegios de bajo nivel realicen acciones no autorizadas en determinadas redes.
Cómo planificar la actualización de su entorno SAP
El Patch Day de este mes refuerza que el mantenimiento preventivo es el camino más seguro para garantizar la integridad de los sistemas de misión crítica. Sin embargo, la aplicación de correcciones exige planeación técnica para mitigar riesgos de indisponibilidad no deseada.
Recomendamos que los equipos de Basis sigan un flujo estructurado:
- Mapeo de impacto: Verificar qué componentes activos de su landscape (Kernel, NetWeaver, Commerce Cloud) están realmente expuestos a las notas de este mes.
- Validación de compatibilidade: Asegurarse de que la aplicación de la nota no afectará las personalizaciones internas o integraciones.
- Entornos de homologación: Ejecutar las pruebas en entornos de QAS antes de transportarlas a producción para garantizar la continuidad del negocio.
El Grupo BravoIT | CloudBasis apoya a su empresa
Nuestro equipo de especialistas certificados en SAP Basis acompaña los ciclos de seguridad en tiempo real. Ayudamos a su empresa a analizar el impacto real de estas vulnerabilidades en su landscape específico, conduciendo la aplicación de las notas técnicas en ventanas de mantenimiento controladas y seguras.
Garantice la estabilidad y la protección de su sistema de gestión. Hable con nuestros especialistas técnicos hoy mismo para una evaluación preventiva de su entorno.
