Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.
Notas marzo 2026
Resumen y highlights del Mes
Este mes el número total ha sido de 15 notas (todas nuevas, sin actualizaciones), 12 menos que en febrero. Este mes se han publicado 2 Hot News, la misma cantidad que en el periodo anterior. En cuanto a notas de criticidad alta, hay 1, seis menos con respecto a febrero. Las notas medias y bajas no serán revisadas, por lo que daremos detalle de un total de 3 notas (todas las que tengan un CVSS de 7 o mayor).
Tenemos un total de 15 notas para todo el mes (las 15 son nuevas y no hay actualizaciones de notas de meses anteriores).
Revisaremos en detalle un total de 3 notas, todas de criticidad alta y Hot News:
-
La nota más alta en criticidad del mes (CVSS 9,8) es una Hot News y está relacionada con “Code Injection vulnerability in SAP Quotation Management Insurance application (FS-QUO)”.
-
La siguiente en criticidad (CVSS 9,1) es la segunda Hot News del mes y está relacionada con “Insecure Deserialization in SAP NetWeaver Enterprise Portal Administration”.
-
La última nota que revisaremos (CVSS 7,7) es de criticidad alta y trata sobre “Denial of service (DOS) in SAP Supply Chain Management”.
Este mes el tipo más predominante ha vuelto a ser “Missing Authorization check” (6/15 en el patch day).
En la gráfica podemos ver la clasificación de las notas de marzo, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):
Detalle completo
El detalle completo de las notas más relevantes es el siguiente (en inglés):
-
Code Injection vulnerability in SAP Quotation Management Insurance application (FS-QUO) (3698553): The FS-QUO-Scheduler module of the Quotation Management Insurance application (FS-QUO) is affected by a vulnerable version of Apache Log4j, which could allow an attacker to execute arbitrary code remotely on the server. Consequently, this vulnerability can have a high impact on confidentiality, integrity, and availability. A temporary workaround is available. CVSS v3 Base Score 9,8/10 [CVE-2019-17571]
-
Insecure Deserialization in SAP NetWeaver Enterprise Portal Administration (3714585): SAP NetWeaver Enterprise Portal Administration is vulnerable if a privileged user uploads untrusted or malicious content which, upon deserialization, could have a high impact on the confidentiality, integrity, and availability of the host system. CVSS v3 Base Score 9,1/10 [CVE-2026-27685]
-
Denial of service (DOS) in SAP Supply Chain Management (3719502): Due to an uncontrolled resource consumption (Denial of Service) vulnerability, an authenticated attacker with regular user privileges and network access can repeatedly invoke a remote-enabled function module with an excessively large loop-control parameter. This triggers prolonged loop execution that consumes excessive system resources, potentially rendering the system unavailable. Successful exploitation results in a denial-of-service condition that impacts availability, while confidentiality and integrity remain unaffected. CVSS v3 Base Score 7,7/10 [CVE-2026-27689]
Enlaces de referencia
Referencias, en inglés de SAP y Onapsis (marzo):
Recursos afectados
El listado completo de los sistemas/componentes afectados es el siguiente:
-
SAP Quotation Management Insurance application (FS-QUO): FS-QUO 800
-
SAP NetWeaver Enterprise Portal Administration: EP-RUNTIME 7.50
-
SAP Supply Chain Management: SCMAPO 713, 714, S4CORE 102, 103, 104, S4COREOP 105, 106, 107, 108, 109, SCM 700, 701, 702, 712