Los investigadores de ciberseguridad han detallado dos fallas de seguridad ahora paradas en la interfaz gráfica de sucesor (GUI) de SAP para Windows y Java que, si se explotan con éxito, podrían activo permitido a los atacantes conseguir a información confidencial bajo ciertas condiciones.
Las vulnerabilidades, rastreadas como CVE-2025-0055 y CVE-2025-0056 (puntajes CVSS: 6.0), fueron parcheados por SAP como parte de sus actualizaciones mensuales para enero de 2025.
«La investigación descubrió que el historial de insumos de GUI de SAP se almacena inseguamente, tanto en las versiones de Java como en Windows», dijo el investigador de Pathlock Jonathan Stross en un referencia compartido con Hacker News.
El historial de usuarios de SAP GUI permite a los usuarios conseguir a los títulos ingresados previamente en los campos de entrada con el objetivo de guardar tiempo y compendiar los errores. Esta información histórica se almacena localmente en dispositivos. Esto puede incluir nombres de sucesor, identificaciones nacionales, números de seguro social (SSN), números de cuenta bancaria y nombres internos de tabla SAP.
Las vulnerabilidades identificadas por Pathlock están enraizadas en esta función de historial de entrada, lo que permite a un atacante con privilegios administrativos o llegada al directorio de sucesor de la víctima en el sistema eficaz para conseguir a los datos adentro de un directorio predefinido basado en la cambio de GUI SAP.
- SAP GUI para Windows – %AppData % Locallow Sapgui Cache History Saphistory
.db - SAP GUI para Java – %AppData % Locallow Sapgui Cache History o $ Home/.SapGui/Cache/History (Windows o Linux) y $ Home/Biblioteca/Preferencias/SAP/Cache/History (MacOS)
El problema es que las entradas se guardan en el archivo de la saco de datos utilizando un esquema de enigmático débil basado en XOR en el caso de SAP GUI para Windows, lo que los hace triviales para decodificar con un esfuerzo minúsculo. En contraste, SAP GUI para Java almacena estas entradas históricas de modo no cifritada como objetos serializados de Java.
Como resultado, dependiendo de la entrada del sucesor proporcionada en el pasado, la información divulgada podría incluir cualquier cosa entre datos no críticos a datos enormemente sensibles, lo que afectó la confidencialidad de la aplicación.
«Cualquier persona con llegada a la computadora puede conseguir potencialmente al archivo del historial y toda la información confidencial que almacena», dijo Stross. «Oportuno a que los datos se almacenan localmente y débilmente (o no en definitivo) encriptados, la exfiltración a través de ataques de inyección HID (como el patito de borrador USB) o el phishing se convierte en una amenaza vivo».
Pathlock todavía señaló que las dos vulnerabilidades sirvieron como saco para una tercera rotura de divulgación de información (CVE-2025-0059, puntaje CVSS: 6.0) en SAP NetWeaver Application Server ABAP, que se zócalo en SAP GUI para HTML. Sin incautación, no tiene un parche.
Para mitigar cualquier aventura potencial asociado con la divulgación de información, se recomienda deshabilitar la funcionalidad del historial de entrada y eliminar los archivos de saco de datos o objetos serializados existentes de los directorios mencionados anteriormente.
Patches de Citrix CVE-2025-5777
La divulgación se produce cuando Citrix reparó una rotura de seguridad con calificación crítica en Netscaler (CVE-2025-5777, puntaje CVSS: 9.3) que podría ser explotado por los actores de amenaza para obtener llegada a electrodomésticos susceptibles.
La deficiencia proviene de una moral de entrada insuficiente que puede permitir a los atacantes no autorizados obtener tokens de sesión válidos de la memoria a través de solicitudes malformadas, sin sobrevenir por detención las protecciones de autenticación. Sin incautación, esto solo funciona cuando NetScaler está configurado como una puerta de enlace o servidor aparente AAA.
La vulnerabilidad ha sido nombrada en código Citrix Bleed 2 por el investigador de seguridad Kevin Beaumont, conveniente a sus similitudes con CVE-2023-4966 (CVSS SCUENT: 9.4), que quedó bajo explotación activa en la salvaje hace dos abriles.
Se ha abordado en las siguientes versiones –
- NetScaler ADC y Netscaler Gateway 14.1-43.56 y luego liberaciones
- NetScaler ADC y Netscaler Gateway 13.1-58.32 y luego lanzamientos de 13.1
- NetScaler ADC 13.1-FIPS y 13.1-NDCPP 13.1-37.235 y versiones posteriores de 13.1-FIPS y 13.1-NDCPP
- NetScaler ADC 12.1-FIPS 12.1-55.328 y versiones posteriores de 12.1-FIPS
El llegada privado seguro en las implementaciones híbridas de llegada privado seguras utilizando instancias de NetScaler todavía se ven afectadas por las vulnerabilidades. Citrix recomienda que los usuarios ejecuten los siguientes comandos para finalizar todas las sesiones activas de ICA y PCOIP a posteriori de que se hayan actualizado todos los electrodomésticos de NetScaler,
kill icaconnection -all kill pcoipConnection -all
La compañía todavía insta a los clientes de las versiones de Netscaler ADC y Netscaler Gateway 12.1 y 13.0 a sobrevenir a una lectura de soporte, ya que ahora están al final de la vida (EOL) y ya no son compatibles.
Si acertadamente no hay evidencia de que el defecto haya sido armado, el CEO de WatchTowr, Benjamin Harris, dijo que «verifica todas las casillas» para el interés de los atacantes y que la explotación podría estar a la dorso de la cantón.
«CVE-2025-5777 se perfila para ser tan reservado como citrixbleed, una vulnerabilidad que causó estragos para los usuarios finales de los electrodomésticos Citrix Netscaler en 2023 y más allá del vector de violación original para numerosos incidentes de detención perfil», dijo Benjamin Harris, CEO en Watchtowr, dijo Hacker News.
«Los detalles que rodean CVE-2025-5777 han cambiado silenciosamente desde su divulgación original, con requisitos o limitaciones conveniente importantes que se eliminan de la descripción NVD CVE, específicamente, el comentario de que esta vulnerabilidad se ha eliminado en la interfaz de trámite beocio a menos que se ha eliminado, lo que nos lleva a creer que esta vulnerabilidad es significativamente más dolorosa que quizás por primera vez señalizada». «.».
