Security Notes - 2025
Durante 2025, el ecosistema SAP registró el mayor número de vulnerabilidades reportadas de los últimos años, consolidando una tendencia de crecimiento sostenido tanto en volumen como en criticidad.
Este análisis se basa en datos de SAP Compass Vulns, aplicando una metodología de CVE-IDs únicos para garantizar consistencia y comparabilidad con años anteriores.
Resumen
El año 2025 cerró con 206 vulnerabilidades SAP únicas, posicionándose como el año con mayor cantidad de vulnerabilidades en el período analizado (2021–2025).
Este incremento representa una diferencia sustancial respecto a 2024, que había registrado 133 CVE-IDs únicos, marcando un crecimiento aproximado del 55 % interanual.
Más allá del volumen, 2025 destacó por:
- un aumento en vulnerabilidades de severidad Alta y Crítica
- la aparición de casos con explotación activa
- una reducción del tiempo entre divulgación y explotación
Estos factores elevan el riesgo operativo y reducen significativamente los márgenes de reacción para los equipos de seguridad SAP.
Key Findings
Evolución anual de vulnerabilidades (CVE-IDs únicos)
| Año | CVE únicos |
|---|---|
| 2021 | 149 |
| 2022 | 132 |
| 2023 | 163 |
| 2024 | 133 |
| 2025 | 206 |
Observaciones principales:
- 📈 2025 registra el máximo histórico de vulnerabilidades SAP
- 🔄 Se rompe la aparente estabilización observada en 2024
- ⚠️ El incremento es tanto cuantitativo como cualitativo
Comparativa de Severidad – 2024 vs 2025
La siguiente tabla compara la distribución de severidad de vulnerabilidades SAP utilizando CVE-IDs únicos, garantizando consistencia metodológica entre ambos años.
| Severidad | 2024 | 2025 | Tendencia |
|---|---|---|---|
| Critical | 8 | ↑ | 🔺 Incremento |
| High | 27 | ↑ | 🔺 Incremento |
| Medium | 87 | ↑ | ↔ / 🔺 |
| Low | 11 | ↔ | ↔ |
| Total CVE únicos | 133 | 206 | 📈 +55% |
El crecimiento en vulnerabilidades High y Critical desplaza el perfil de riesgo global respecto a 2024, incrementando el impacto potencial sobre los entornos SAP.
Explotación Activa y Riesgo Operativo
Uno de los factores diferenciadores de 2025 fue la confirmación de explotación activa de vulnerabilidades SAP en entornos reales.
Casos como CVE-2025-31324 (SAP NetWeaver, CVSS 10.0) evidencian que: - la explotación puede ocurrir antes o durante las ventanas de parcheo - componentes históricos siguen siendo objetivos prioritarios - el riesgo deja de ser teórico para convertirse en operacional
Este contexto reduce la efectividad de enfoques puramente reactivos basados en mantenimiento periódico.
Productos Más Afectados
Durante 2025, los productos y componentes con mayor concentración de vulnerabilidades fueron:
- SAP NetWeaver
- SAP S/4HANA
- SAP Solution Manager
- SAP Commerce
- Componentes legacy y SDKs asociados
La persistencia de NetWeaver como vector relevante refuerza la necesidad de revisar arquitecturas heredadas y superficies de exposición históricas.
Tipologías de Vulnerabilidades Recurrentes
Las categorías más frecuentes observadas en 2025 incluyen:
- Deserialización insegura
- Inyección de código
- Bypass de autenticación y autorización
- Carga de archivos sin validación adecuada
Estas tipologías combinan alto impacto técnico con probabilidad real de explotación, especialmente en escenarios con exposición directa a red.
Conclusión Ejecutiva (C-Level)
Con 206 CVE-IDs únicos, 2025 se consolida como el año con mayor volumen de vulnerabilidades SAP del período analizado.
Este crecimiento, acompañado por un aumento en severidad y evidencia de explotación activa, eleva el riesgo operativo a un nivel que impacta directamente en la continuidad del negocio.
Desde una perspectiva ejecutiva, la seguridad SAP deja de ser un tema exclusivamente técnico para convertirse en un riesgo corporativo, que requiere: - visibilidad continua - priorización basada en impacto real - decisiones alineadas al negocio
La gestión efectiva del riesgo SAP es hoy un habilitador clave para la resiliencia operativa.
Implicancias y Acciones DevSecOps
El escenario observado en 2025 refuerza la necesidad de evolucionar hacia un modelo DevSecOps-driven para entornos SAP.
Acciones concretas recomendadas:
- Priorizar vulnerabilidades combinando:
- CVSS (impacto)
- EPSS (probabilidad)
- exposición del sistema
- evidencia de explotación (KEV / wild exploitation)
- Automatizar la ingesta y normalización de datos desde SAP Compass
- Reducir el tiempo de reacción integrando alertas tempranas
- Revisar y proteger componentes legacy y servicios expuestos
- Incorporar métricas de riesgo SAP en dashboards ejecutivos
La seguridad SAP ya no puede abordarse como una actividad reactiva ni aislada. En 2025, se consolida como una disciplina estratégica.
Nota Metodológica
Este análisis se basa en CVE-IDs únicos extraídos de SAP Compass Vulns.
El dataset raw puede contener múltiples registros por CVE cuando este afecta a más de un producto o componente.
La deduplicación por CVE-ID permite comparaciones consistentes entre años y evita sobreestimar el volumen real de vulnerabilidades.
Recursos
-
📊 SAP Compass Vulns
https://sap-compass-vulns.streamlit.app/ -
📘 Resumen 2024
https://dso-days-siteblog.vercel.app/blog/2024-sap-compass-vulns-summary/