Hoy es el SAP Security Patch Day: entiende la importancia de este día y lo más destacado de mayo

Publicado por:
Equipo BravoIT y CloudBasis

¿Qué es el SAP Security Patch Day?

Cada segundo martes del mes, SAP lleva a cabo el SAP Security Patch Day —un evento regular y sincronizado con los ciclos de corrección de otros grandes proveedores de software, como Microsoft y Oracle. Se trata del momento en que SAP publica oficialmente sus SAP Security Notes: correcciones de software enfocadas exclusivamente en seguridad, desarrolladas para proteger los sistemas de los clientes contra vulnerabilidades recién identificadas o nuevos vectores de ataque.

La iniciativa nació a partir del feedback de clientes, socios y grupos de usuarios de SAP en todo el mundo, quienes demandaban mayor previsibilidad y transparencia en el proceso de actualización de seguridad. Al consolidar las correcciones en una fecha fija y conocida, SAP permite que los equipos de TI y seguridad planifiquen con anticipación la aplicación de parches en sus entornos productivos.

¿Por qué este día es tan importante?

Una vulnerabilidad no corregida puede representar una puerta abierta para atacantes que buscan el robo de datos, fraude financiero o la interrupción de operaciones. Mantener los sistemas SAP actualizados con las Security Notes más recientes es, por lo tanto, una de las acciones de seguridad más eficaces que una organización puede adoptar. SAP recomienda encarecidamente que las correcciones se implementen con prioridad.

¿Cómo funcionan las SAP Security Notes?

Las SAP Security Notes se clasifican en dos categorías principales:

  • Patch Day Security Notes — lanzadas en el día oficial del Patch Day, son las más críticas y deben implementarse con prioridad máxima.
  • Support Package Security Notes — correcciones de menor urgencia entregadas junto con los paquetes de soporte (SP upgrades), lo que permite una implementación automatizada durante las actualizaciones de rutina.

Cada nota recibe una puntuación de severidad basada en el estándar CVSS (Common Vulnerability Scoring System), que varía de 0 a 10:

  • CVSS 9.0–10.0 → HotNews / Crítica — requiere acción inmediata.
  • CVSS 7.0–8.9 → Alta — debe corregirse con urgencia.
  • CVSS 4.0–6.9 → Media — corrección planificada en el próximo ciclo.
  • CVSS 0.1–3.9 → Baja — menor riesgo, pero debe ser atendida.

A partir de junio de 2019, para notas con severidad alta o muy alta, SAP comenzó a entregar correcciones para paquetes de soporte lanzados en los últimos 24 meses, ampliando la cobertura anterior de 18 meses, lo cual beneficia a las organizaciones que no siempre cuentan con la versión más reciente.

Lo más destacado del SAP Security Patch Day — Mayo de 2026

Hoy, 12 de mayo de 2026, SAP publicó 15 nuevas Security Notes:

  • 2 Críticas – CVSS 9.6
  • 1 Alta – CVSS 8.2
  • 11 Medias – CVSS 4.3–6.5
  • 1 Baja – CVSS 3.4

Su equipo de SAP Basis puede consultar la lista completa en:
SAP Security Notes & News – May 2026

Vulnerabilidades críticas y altas en destaque:

  • SQL Injection en SAP S/4HANA — Nota #3724838 (CVSS 9.6)
    Esta vulnerabilidad crítica afecta al componente SAP Enterprise Search for ABAP dentro de SAP S/4HANA, en múltiples versiones de SAP_BASIS (751 a 816). Debido a la falta de validación y sanitización adecuada de entrada, un atacante autenticado puede inyectar instrucciones SQL maliciosas a través de campos controlados por el usuario, con un alto impacto en la confidencialidad y disponibilidad de los datos de la aplicación.
  • Autenticación ausente en SAP Commerce Cloud — Nota #3733064 (CVSS 9.6)
    Vulnerabilidad crítica de falta de autenticación en la configuración de SAP Commerce Cloud, que afecta a las versiones HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21. Una explotación exitosa podría permitir que usuarios no autenticados accedan a funcionalidades restringidas, comprometiendo la integridad de la plataforma de e-commerce.
  • OS Command Injection en SAP Forecasting & Replenishment — Nota #3732471 (CVSS 8.2)
    Vulnerabilidad de alta severidad que permite la inyección de comandos del sistema operativo en el módulo SAP Forecasting & Replenishment, afectando las versiones SCM 702 a 714. Un atacante que explote esta falla puede ejecutar comandos arbitrarios en el servidor, poniendo en riesgo la infraestructura de la cadena de suministro (supply chain).

¿Está protegida su empresa?

La aplicación de parches de SAP exige más que simplemente descargar e instalar una nota: es necesario analizar el impacto en cada entorno, validar la compatibilidad con personalizaciones, realizar pruebas y garantizar la continuidad operativa. Los errores en este proceso pueden ser tan perjudiciales como la propia vulnerabilidad.

El Grupo BravoIT | CloudBasis cuenta con un equipo de especialistas certificados en SAP Basis y seguridad que acompaña cada ciclo de Patch Day, evaluando el impacto de las notas en su entorno específico y liderando la implementación con seguridad y precisión.

Póngase en contacto con nuestros técnicos y descubra cómo podemos ayudarle a mantener su entorno SAP siempre actualizado, seguro y en cumplimiento.

Veja também:

¿Cuál es la posibilidad real de que la IA reemplace al sistema SAP ERP en las empresas?

Optimización de Performance SAP: Maximice la Eficiencia de su Entorno

Renovación de SAP RISE: ¿Qué necesitan saber las empresas?

Hablar ahora con un especialista

Servicio

+55 (11) 3500-8078

contato@bravoit.com.br

R. Gomes de Carvalho, 911 - Vila Olímpia, São Paulo - SP, 04547-003

Síganos