Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.
Notas abril 2026
Resumen y highlights del Mes
Este mes el número total ha sido de 20 notas (19 nuevas y 1 actualización), 5 más que en marzo. Este mes se ha publicado 1 Hot News, una menos que en el periodo anterior. En cuanto a notas de criticidad alta, hay 1, la misma cantidad con respecto a marzo. Las notas medias y bajas no serán revisadas, por lo que daremos detalle de un total de 2 notas (todas las que tengan un CVSS de 7 o mayor).
Tenemos un total de 20 notas para todo el mes (19 son nuevas y 1 es actualización de una nota de meses anteriores).
Revisaremos en detalle un total de 2 notas, todas de criticidad alta y Hot News:
-
La nota más alta en criticidad del mes (CVSS 9,9) es una Hot News y está relacionada con “SQL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse”.
-
La segunda y última nota que revisaremos (CVSS 7,1) es de criticidad alta y trata sobre “Missing Authorization check in SAP ERP and SAP S/4 HANA (Private Cloud and On-Premise)”.
Este mes el tipo más predominante ha sido “Missing Authorization check” (9/20 en el patch day).
En la gráfica podemos ver la clasificación de las notas de abril, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):
Detalle completo
El detalle completo de las notas más relevantes es el siguiente (en inglés):
-
QL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse (3719353): Due to insufficient authorization checks in SAP Business Planning and Consolidation and SAP Business Warehouse, an authenticated user can execute crafted SQL statements to read, modify, and delete database data. This leads to a high impact on the confidentiality, integrity, and availability of the system. A temporary workaround is available. CVSS v3 Base Score 9,9/10 [CVE-2026-27681]
-
Missing Authorization check in SAP ERP and SAP S/4 HANA (Private Cloud and On-Premise) (3731908): Due to a missing authorization check in SAP ERP and SAP S/4HANA (Private Cloud and On-Premise), an authenticated attacker could execute a particular ABAP report to overwrite any existing eight‑character executable ABAP report without authorization. If the overwritten report is subsequently executed, the intended functionality could become unavailable. Successful exploitation impacts availability, with a limited impact on integrity confined to the affected report, while confidentiality remains unaffected. A temporary workaround is available. CVSS v3 Base Score 7,1/10 [CVE-2026-34256]
Enlaces de referencia
Referencias, en inglés de SAP y Onapsis (abril):
Recursos afectados
El listado completo de los sistemas/componentes afectados es el siguiente:
-
SAP Business Planning and Consolidation and SAP Business Warehouse: HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816
-
SAP ERP and SAP S/4 HANA (Private Cloud and On-Premise): SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606