SAP publica parches críticos que afectan a entornos ERP

La actualización de febrero corrige fallos en S/4HANA, CRM y NetWeaver con riesgo de acceso no autorizado y manipulación de datos

Foto: cortesía. Portal ERP España.

SAP ha publicado su actualización mensual de seguridad correspondiente a febrero de 2026, que incluye varias notas clasificadas como HotNews y de alta prioridad que afectan a entornos ampliamente utilizados en la gestión empresarial, como SAP S/4HANA, SAP CRM y SAP NetWeaver.

Las vulnerabilidades corregidas impactan directamente en componentes clave de sistemas ERP que gestionan procesos financieros, logísticos y operativos en miles de organizaciones. Entre las notas más críticas se encuentra la SAP Security Note 3697099 (CVE-2026-0488), que corrige una vulnerabilidad de inyección de código en el Scripting Editor de SAP CRM y SAP S/4HANA. Según la descripción técnica publicada, el fallo puede permitir la ejecución de sentencias SQL arbitrarias, con el consiguiente riesgo de exposición o manipulación de información almacenada en el sistema.

Otra de las actualizaciones urgentes es la SAP Security Note 3674774 (CVE-2026-0509), que soluciona un problema de verificación de autorizaciones en el Application Server ABAP y la plataforma ABAP de NetWeaver. Este defecto puede permitir que un usuario con credenciales válidas pero permisos limitados ejecute llamadas de funciones remotas sin la autorización correspondiente, lo que podría afectar a procesos internos críticos.

Te puede interesar: SAP cierra 2025 con un crecimiento récord en su cartera de pedidos cloud

Además de estas notas HotNews, el Patch Day incluye correcciones relacionadas con vulnerabilidades de XML Signature Wrapping, errores de autorización, redirecciones abiertas y problemas de denegación de servicio (DoS) en distintas soluciones del ecosistema SAP, como Supply Chain Management y BusinessObjects BI Platform.

La clasificación HotNews indica que las vulnerabilidades requieren atención inmediata. SAP distribuye estas actualizaciones a través de su portal de soporte oficial, donde detalla los sistemas afectados y las medidas de mitigación correspondientes.

Las vulnerabilidades corregidas afectan a plataformas que soportan procesos nucleares del negocio, desde la contabilidad y la gestión financiera hasta la cadena de suministro y el reporting corporativo. En entornos ERP integrados, un fallo de autorización o una inyección de código puede comprometer la integridad de datos críticos o permitir accesos indebidos a información sensible.

La actualización refuerza la importancia de mantener una política activa de gestión de parches en entornos SAP, especialmente en organizaciones con arquitecturas complejas o integraciones con terceros.

Qué deben revisar los responsables de ERP

Ante la publicación de estas notas, las organizaciones deberían:

• Verificar si sus entornos S/4HANA, CRM o NetWeaver están afectados.
  
• Priorizar la aplicación de las notas clasificadas como HotNews.
  
• Revisar los permisos y autorizaciones en sistemas ABAP.
  
• Validar los parches en entornos de prueba antes de su despliegue en producción.
  

El Security Patch Day de febrero vuelve a situar la seguridad de los sistemas ERP en el centro de la agenda tecnológica, en un contexto en el que la protección de datos empresariales y la continuidad operativa son factores críticos para la gestión corporativa.