7 min de lectura<\/p>\n
SAP cerr\u00f3 en abril de 2026 una vulnerabilidad de inyecci\u00f3n SQL en Business Planning and Consolidation y Business Warehouse con CVSS 9.9. La CVE-2026-27681<\/a> permite a un usuario autenticado con privilegios m\u00ednimos ejecutar sentencias SQL arbitrarias en la base de datos. Quien, como empresa mediana, haya pospuesto el parche de abril porque la ventana de mantenimiento coincid\u00eda con el Viernes Santo y el cierre trimestral, lleva tres semanas expuesto. La nota SAP 3719353 est\u00e1 disponible desde el 14.04.2026, el parche ha sido probado y el esfuerzo es asumible. El retraso solo se vuelve cr\u00edtico cuando se abre la ventana de auditor\u00eda para el balance del segundo trimestre.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado<\/span>Perfil de riesgo 2026: la precauci\u00f3n ser\u00e1 la estrategia m\u00e1s cara<\/a> \/<\/span> Obligaci\u00f3n de factura electr\u00f3nica: empresas bajo presi\u00f3n<\/a><\/p>\n En la mayor\u00eda de las organizaciones de tama\u00f1o medio, un aviso de seguridad de SAP procedente del d\u00eda de parches termina autom\u00e1ticamente en el caj\u00f3n de seguridad inform\u00e1tica. All\u00ed se clasifica seg\u00fan CVSS, se agenda y se asigna al siguiente slot de sprint. Con la CVE-2026-27681<\/a>, este reflejo funciona mal. La vulnerabilidad no reside en el per\u00edmetro de red, sino en un programa ABAP que se ejecuta durante la previsi\u00f3n corporativa y el cierre trimestral. Por tanto, no es un tema de seguridad, sino un tema de informes financieros con etiqueta de seguridad.<\/p>\n La descripci\u00f3n de SAP<\/a> es inusualmente clara. Un usuario con permisos est\u00e1ndar, autorizado a cargar datos en un programa ABAP, puede inyectar sus propias sentencias SQL. Esto no ocurre a trav\u00e9s de un servidor de exploits externo, sino mediante el mismo campo de entrada utilizado para cargar los datos trimestrales. Quien tome en serio el riesgo interno tiene aqu\u00ed un caso de manual.<\/p>\n Esta es tambi\u00e9n la raz\u00f3n por la que la evaluaci\u00f3n de riesgos difiere de la de una CVE est\u00e1ndar. En una ejecuci\u00f3n remota de c\u00f3digo (RCE) en FortiSandbox, el CISO debate si el dispositivo est\u00e1 en el \u00e1rea perimetral. En una inyecci\u00f3n SQL en BPC, el director general debate si est\u00e1 preparando las cifras del segundo trimestre para el banco. La respuesta suele ser: s\u00ed.<\/p>\n La SAP Note 3719353 enumera una base de versiones inusualmente amplia. Se ven afectadas BW 750, 752, 753, 754, 755, 756, 757, 758, 816, as\u00ed como HANABPC 810 y BPC4HANA 300. Quien coteje esta lista con la realidad t\u00edpica de las pymes en la regi\u00f3n DACH, se encontrar\u00e1 casi con total seguridad. BW 7.50 funciona de forma estable en muchas empresas desde 2016 y se ha mantenido bajo pr\u00f3rroga de mantenimiento. BPC4HANA 300 es la variante Embedded actual, que acompa\u00f1a a S\/4HANA.<\/p>\n En la pr\u00e1ctica, observo tres configuraciones t\u00edpicas. La primera es el cl\u00e1sico grupo empresarial mediano con BW como backend de informes para los reportes bancarios. Aqu\u00ed no solo depende la herramienta: la pista de auditor\u00eda del \u00faltimo ejercicio fiscal transcurre por el mismo sistema. Una inyecci\u00f3n SQL en esta capa no es solo una filtraci\u00f3n de datos, sino un riesgo de auditor\u00eda, ya que la integridad de los informes hist\u00f3ricos ya no es trivial de demostrar.<\/p>\n La segunda configuraci\u00f3n es la pyme familiar con BPC para la consolidaci\u00f3n. BPC es aqu\u00ed a menudo la \u00fanica herramienta que realmente conoce la direcci\u00f3n general, porque produce las previsiones y las comparativas planificado vs. real. Una intervenci\u00f3n en esta capa afecta directamente la capacidad de control de la direcci\u00f3n general.<\/p>\n La tercera configuraci\u00f3n es la migraci\u00f3n a S\/4HANA prevista para 2026. Quien quiera hacer el corte en verano, ya habr\u00e1 desplegado BPC4HANA 300 y estar\u00e1 en fase de pruebas. Justo ah\u00ed est\u00e1 la vulnerabilidad. No aplicar el parche antes del corte es pura cuesti\u00f3n de comodidad, lo que resultar\u00e1 caro m\u00e1s adelante, ya que aplicar un parche en el sistema productivo con procesos de consolidaci\u00f3n activos es mucho m\u00e1s complejo.<\/p>\n Qu\u00e9 se rompe<\/p>\n Qu\u00e9 sostiene<\/p>\n La asimetr\u00eda es evidente. Lo que se rompe es la disciplina del sprint y la comunicaci\u00f3n. Lo que sostiene es la sustancia de la propia nota. Quien no aplica el parche, no tiene raz\u00f3n t\u00e9cnica, sino organizativa.<\/p>\n El plan suena ajustado, pero es realista. La mayor\u00eda de las pymes de la regi\u00f3n DACH tienen una ventana de parches SAP quincenal, aunque rara vez se mantiene de forma constante. La nota 3719353 es la oportunidad para reintegrar la ventana en la rutina, en lugar de tratarla como una operaci\u00f3n especial.<\/p>\n La evaluaci\u00f3n de riesgo de una p\u00e1gina para la direcci\u00f3n es el punto donde la mayor\u00eda de los sprints de parches fracasan, mucho antes de que el equipo base aplique siquiera la nota. Quien env\u00eda a la direcci\u00f3n una tabla CVSS y un aviso gen\u00e9rico de SAP obtiene lo que merece: un check en \u00abtomado conocimiento\u00bb. Quien escribe una p\u00e1gina con tres puntos obtiene la aprobaci\u00f3n de una ventana de parches.<\/p>\n Los tres puntos no son complicados. Primero: un usuario autenticado puede modificar nuestras cifras de consolidaci\u00f3n del segundo trimestre antes de que pasen al informe de la junta directiva. Segundo: el parche lleva tres semanas disponible, est\u00e1 probado y recomendado por SAP. Tercero: la pr\u00f3xima ventana de parches regular es el d\u00eda X, o bien proponemos una ventana Out-of-Band el d\u00eda Y. Este formato respeta el tiempo de la direcci\u00f3n y ofrece una decisi\u00f3n en lugar de un estado de actualizaci\u00f3n.<\/p>\n Quien ha aprendido en el pasado que la direcci\u00f3n bloquea los temas de TI deber\u00eda verificar un detalle: \u00bfbloquean realmente la sustancia o bloquean la forma? En la mayor\u00eda de los casos, es la forma. Una nota 3719353 con una clara referencia al segundo trimestre no es burocracia de TI, sino un asunto contable. Deber\u00eda empaquetarse exactamente as\u00ed.<\/p>\n El parche es obligatorio, el inventario es complementario. Quien consulte en el Solution-Manager qu\u00e9 programas ABAP personalizados utilizan el patr\u00f3n de carga vulnerable, generalmente encontrar\u00e1 m\u00e1s que los programas est\u00e1ndar de SAP. Estos programas personalizados no se han parcheado con la nota 3719353, ya que dicha nota solo aborda el est\u00e1ndar de SAP. Aqu\u00ed es necesaria una revisi\u00f3n de c\u00f3digo propia, idealmente en colaboraci\u00f3n con el equipo de desarrollo ABAP.<\/p>\n La segunda tarea complementaria es el inventario de permisos. CVE-2026-27681 es explotable con un nivel de privilegios bajo. Quien revise el concepto de permisos para ver cu\u00e1ntos usuarios poseen el objeto de autorizaci\u00f3n necesario, a menudo ver\u00e1 un n\u00famero en el rango de tres d\u00edgitos, resultado de un crecimiento hist\u00f3rico. Una reducci\u00f3n r\u00e1pida al conjunto realmente necesario no sustituye al parche, pero s\u00ed reduce la superficie de ataque interna, por si la nota solo puede implementarse en producci\u00f3n dentro de dos semanas.<\/p>\n La tercera tarea complementaria es el logging. El SAP Audit-Log y el Read-Access-Logging muestran qui\u00e9n ejecut\u00f3 cargas ABAP entre el 14.04.2026 y la fecha del parche. Esta lista debe conservarse, no por desconfianza, sino por precauci\u00f3n ante auditor\u00edas. Si un auditor pregunta dentro de doce meses si alguien aprovech\u00f3 el patr\u00f3n durante ese periodo abierto, la respuesta \u00abtenemos la lista\u00bb es mucho m\u00e1s agradable que \u00abno lo sabemos\u00bb.<\/p>\n SAP indic\u00f3 en la comunicaci\u00f3n del Patch Day del 14.04.2026 que ninguna de las vulnerabilidades abordadas se est\u00e1 explotando activamente en la naturaleza. Esto no cambia la obligaci\u00f3n de aplicar el parche, ya que el vector est\u00e1 documentado p\u00fablicamente y los riesgos internos no dependen de observaciones externas.<\/p>\n<\/details>\n No. La nota aborda un programa ABAP compartido. Incluso las instalaciones puras de BPC sin la capa de informes cl\u00e1sica de BW deben aplicar la nota, ya que el programa vulnerable forma parte de ambas pilas. La nota de SAP menciona expl\u00edcitamente BPC4HANA 300 y HANABPC 810.<\/p>\n<\/details>\n BW 7.40 est\u00e1 fuera del mantenimiento est\u00e1ndar desde 2020. Si la versi\u00f3n sigue funcionando en producci\u00f3n, es probable que la vulnerabilidad exista, pero no haya un parche disponible. SAP recomienda en este caso actualizar a una versi\u00f3n con soporte. De forma provisional, ayuda realizar un inventario de permisos y registrar las cargas ABAP para reducir la superficie de ataque.<\/p>\n<\/details>\n No, todo lo contrario. Si BPC4HANA 300 se transfiere al S\/4HANA de producci\u00f3n sin la Nota 3719353, la vulnerabilidad se trasladar\u00e1 al nuevo sistema tras el cutover. La forma correcta es aplicar la nota en el sistema de calidad de la migraci\u00f3n y llevarla consigo en el cutover. El equipo de migraci\u00f3n debe incluir expl\u00edcitamente la Nota 3719353 en la lista de verificaci\u00f3n del cutover.<\/p>\n<\/details>\n Por lo general, no para la nota en s\u00ed. Es est\u00e1ndar, est\u00e1 probada y el propio equipo de base SAP puede gestionar la ventana de parcheo. El asesoramiento externo es \u00fatil si se pretende abordar el inventario de permisos o la revisi\u00f3n de c\u00f3digo de los programas ABAP personalizados, ya que estos dos temas consumen recursos que rara vez est\u00e1n disponibles en la operativa diaria de una empresa de tama\u00f1o medio.<\/p>\n<\/details>\n Fuente de la imagen de portada: Pexels \/ MART PRODUCTION (px:8872665)<\/em><\/p>\n Recomendaciones de lectura de la redacci\u00f3n<\/p>\n La nota SAP\u202f3719353 cierra una vulnerabilidad SQL en BPC y BW con CVSS\u202f9,9. Quien haya pospuesto el parche de abril arriesga el balance trimestral.<\/p>\n","protected":false},"author":195,"featured_media":99373,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_yoast_wpseo_focuskw":"SAP-BPC SQL balance trimestral","_yoast_wpseo_title":"SAP-BPC: La puerta trasera de SQL en la balanza trimestral","_yoast_wpseo_metadesc":"La nota SAP 3719353 corrige una vulnerabilidad SQL en BPC y BW con CVSS 9.9; quienes pospusieron el parche de abril, ponen en riesgo la cuenta trimestral.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/mybusinessfuture.com\/wp-content\/uploads\/2026\/05\/sap-bpc-bw-cve-2026-27681-sql-injection-mittelstand-patch-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/mybusinessfuture.com\/wp-content\/uploads\/2026\/05\/sap-bpc-bw-cve-2026-27681-sql-injection-mittelstand-patch-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"featured_post_sortierung":0,"featured_post":0,"pre_headline":"","bildquelle":"","teasertext":"","language":"de","footnotes":""},"categories":[1276,1955],"tags":[],"class_list":["post-99396","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-business-future","category-netzinfrastruktur","entry"],"wpml_language":"es","wpml_translation_of":99369,"acf":[],"yoast_head":"\n\n
Por qu\u00e9 esta vulnerabilidad no acaba en el caj\u00f3n de ciberseguridad<\/h2>\n
Lo que dicen las 11 versiones afectadas sobre las pymes alemanas<\/h2>\n
Qu\u00e9 se rompe, qu\u00e9 sostiene: el sprint de parcheo en mayo<\/h2>\n
\n
\n
Un plan de 14 d\u00edas que encaja en la peque\u00f1a y mediana empresa<\/h2>\n
Lo que la direcci\u00f3n realmente necesita saber<\/h2>\n
Lo que hay que hacer adem\u00e1s del parche<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfSe est\u00e1 explotando activamente CVE-2026-27681?<\/strong><\/summary>\n
\u00bfEs suficiente aplicar la Nota 3719353 solo en BPC si no tenemos BW?<\/strong><\/summary>\n
\u00bfQu\u00e9 hacer si nuestra versi\u00f3n de BW es la 7.40 y no aparece en la nota de SAP?<\/strong><\/summary>\n
\u00bfInterferir\u00e1 el parche con nuestro cutover a S\/4HANA previsto para el verano?<\/strong><\/summary>\n
\u00bfNecesitamos asesoramiento externo para ello?<\/strong><\/summary>\n
\n
M\u00e1s contenido de la red de medios MBF<\/h2>\n
\n