Parches Críticos de SAP para NetWeaver y Approuter
SAP publica parches críticos de SAP para corregir fallos graves en NetWeaver y Approuter. Conoce los detalles técnicos y cómo proteger tus sistemas.

La reciente publicación de los parches críticos de SAP de julio de 2026 ha generado gran urgencia en los departamentos de tecnología y ciberseguridad a nivel global. SAP ha corregido fallos de seguridad muy graves en su plataforma SAP NetWeaver y en su biblioteca de enrutamiento @sap/approuter. Ambas herramientas constituyen el núcleo del acceso web y de la infraestructura empresarial para miles de corporaciones globales, lo que convierte a estas vulnerabilidades en objetivos preferentes para actores maliciosos.
En esta publicación analizaremos en profundidad las características de los fallos solventados, los riesgos asociados para la integridad corporativa y los pasos necesarios para desplegar las correcciones de forma exitosa y segura.
Detalles de las vulnerabilidades en NetWeaver y Approuter
Las vulnerabilidades de mayor prioridad de este mes afectan al servidor de aplicaciones Java de SAP NetWeaver y al enrutador de aplicaciones de la nube (@sap/approuter). NetWeaver actúa como la capa de integración de software empresarial de SAP, gestionando datos de recursos humanos, financieros y logísticos. Por otro lado, Approuter gestiona el tráfico web y actúa como el único punto de entrada para las aplicaciones nativas en la nube de SAP (como BTP, Business Technology Platform).
El principal fallo abordado en Approuter permite a los atacantes omitir la validación de tokens de sesión mediante una manipulación del algoritmo de firma JWT (JSON Web Tokens). En NetWeaver AS Java, el problema consiste en una validación de entrada insuficiente en ciertos servicios de red predeterminados, lo que permite a atacantes remotos no autenticados inyectar código en el servidor. Esto puede desembocar en una ejecución remota de código (RCE), otorgando control absoluto sobre la base de datos empresarial conectada.
Dada la severidad de estas incidencias, con puntuaciones CVSS superiores a 9.0, la aplicación inmediata de estas soluciones es indispensable para garantizar el cumplimiento de las normativas de protección de datos y evitar el espionaje corporativo.
Análisis de impacto y vectores de ataque
La explotación de estos fallos no requiere de privilegios elevados ni de la interacción activa de un usuario legítimo. Los vectores de ataque identificados se caracterizan por:
- Omisión de autenticación en Approuter: El atacante envía un token JSON Web Token manipulado. Si el servidor está mal configurado, el servicio confía en firmas vacías o malformadas, concediendo privilegios de administrador sin credenciales.
- Ejecución remota de código en NetWeaver: A través de puertos expuestos expuestos de manera insegura a internet, el atacante envía peticiones HTTP maliciosas a los servicios SOAP o de gestión de NetWeaver, forzando la descarga de librerías externas infectadas.
- Escalada de privilegios: Una vez en el sistema, el intruso se desplaza lateralmente hacia la base de datos central de SAP, comprometiendo planes financieros, datos de clientes y propiedad intelectual.
Las organizaciones que desarrollan aplicaciones en la nube para sus plataformas deben auditar constantemente su software para prevenir errores críticos de configuración. Si deseas conocer cómo integrar prácticas de inspección de código robustas, te sugerimos consultar nuestra guía técnica sobre la auditoría de código SAST y DAST en el desarrollo seguro.
Tabla comparativa de vulnerabilidades resueltas
La siguiente tabla detalla los componentes afectados por estas actualizaciones, sus puntuaciones CVSS correspondientes y el impacto técnico que representan para la infraestructura corporativa:
| Componente de SAP | Identificador CVE | Puntuación CVSS | Impacto Técnico Principal | Tipo de Mitigación |
|---|---|---|---|---|
| SAP NetWeaver AS Java | CVE-2026-38291 | 9.8 | Ejecución Remota de Código (RCE) | Actualización de firmware / Parche de red |
| @sap/approuter | CVE-2026-39102 | 9.1 | Omisión de Autenticación JWT | Actualización de dependencias NPM |
| SAP NetWeaver RFC Client | CVE-2026-38295 | 7.5 | Denegación de Servicio (DoS) | Reemplazo de librería estática |
| SAP Business Technology Platform | CVE-2026-40112 | 8.8 | Fuga de Datos de Sesión | Parche central en nube (automático) |
Para comprender la importancia de proteger las cookies y los tokens de sesión tras un ataque de omisión de autenticación, lee nuestra guía sobre el análisis de seguridad en cookies con directivas Secure, HttpOnly y SameSite.
Pasos para implementar los parches
Para desplegar de manera segura los parches críticos de SAP en NetWeaver y actualizar tus proyectos que utilicen Approuter, recomendamos realizar un flujo ordenado de remediación tecnológica.
Paso 1: Identificar dependencias desactualizadas de Approuter
En tus proyectos de Node.js que despliegan servicios en la nube de SAP, puedes auditar las dependencias del archivo package.json para verificar si estás expuesto a versiones inseguras del Approuter ejecutando:
# Listar la versión instalada de approuter en tu directorio de desarrollo
npm list @sap/approuter
# O ejecutar una auditoría de seguridad para descubrir vulnerabilidades conocidas
npm audit
Paso 2: Actualizar la dependencia a la versión corregida
Modifica tu archivo package.json para asegurar que utilizas una versión segura del enrutador (versión igual o superior a la recomendada en la nota de seguridad de SAP) y actualiza el package-lock mediante:
# Actualizar e instalar la versión segura más reciente de approuter
npm install @sap/approuter@latest --save
Paso 3: Aplicar parches de NetWeaver mediante SAP Software Update Manager (SUM)
Para las instalaciones locales (on-premises) de SAP NetWeaver, descarga los archivos de soporte oficiales (SAPs) desde el portal SAP Support e instálalos siguiendo el flujo de actualización corporativa. No olvides desactivar accesos temporales externos y cerrar sesiones antes de realizar cambios estructurales en las bases de datos.
Fortalecimiento de la seguridad en el ciclo de desarrollo
La protección de sistemas ERP tan robustos como SAP no termina con la aplicación de parches reactivos. Es imperativo que las empresas adopten un enfoque proactivo de seguridad desde las fases iniciales de diseño y maquetación de sus interfaces. Para las startups y nuevas empresas tecnológicas que estructuran su software, es fundamental implementar una arquitectura que cumpla con los estándares internacionales; para más información, consulta nuestro artículo sobre ciberseguridad en startups y arquitecturas de software seguras.
Una práctica recomendada en el desarrollo web front-end para entornos empresariales es la limpieza y optimización del código estático. Al construir portales personalizados conectados a las APIs de SAP, te recomendamos usar nuestro minificador CSS. Esta herramienta permite eliminar comentarios internos de desarrollo, variables expuestas innecesariamente y reducir significativamente el peso de los estilos de tus plataformas. Todo el procesamiento se realiza localmente en tu navegador, garantizando que el diseño y los selectores de tus páginas críticas no se transmitan a terceras partes.
Para una mayor seguridad de los datos de sesión en sistemas financieros y ERPs, el cifrado del almacenamiento físico de los servidores es igualmente crucial. Puedes revisar nuestras guías detalladas en cifrado de datos en reposo y en tránsito: Estrategias de seguridad.
Conclusión
El lanzamiento de los parches críticos de SAP de julio de 2026 pone de manifiesto que los componentes que regulan el tráfico web y la autenticación (como Approuter y NetWeaver AS Java) requieren de un monitoreo constante. Ignorar estas actualizaciones expone a las organizaciones a graves incidentes de ejecución de código y secuestro de información comercial confidencial.
Establecer una rutina periódica de auditoría de paquetes de software, actualizar las dependencias NPM e implementar mecanismos de minificación y limpieza de código estático son herramientas clave para mitigar las brechas de ciberseguridad corporativas más agresivas.
Fuentes y lecturas recomendadas:
- SAP Support Portal - Security Notes — Sitio oficial de boletines de seguridad de SAP.
- Wikipedia - SAP NetWeaver — Historia y especificación técnica de la arquitectura NetWeaver.
- OWASP Secure Coding Practices — Estándar internacional para el desarrollo seguro de aplicaciones web.
- Post relacionado en TecnoCrypter: Auditoría de código SAST y DAST: Herramientas esenciales de desarrollo


