Firma SAP opublikowała zestaw 20 nowych oraz zaktualizowanych not bezpieczeństwa w ramach lipcowego cyklu poprawek. Wśród usuniętych luk znajdują się krytyczne błędy, które mogły umożliwić nieautoryzowanym użytkownikom dostęp do danych, ich modyfikację, a także doprowadzić do paraliżu systemów informatycznych.
Krytyczne luki w zabezpieczeniach
Najpoważniejszym zagrożeniem okazała się luka oznaczona jako CVE-2026-44747, której przyznano maksymalny wskaźnik ważności w skali CVSS na poziomie 9.9. Jest to błąd korupcji pamięci w serwerze aplikacji NetWeaver ABAP. Eksperci z firmy Onapsis ostrzegają, że udana eksploatacja tej podatności pozwala atakującemu na przejęcie kontroli nad danymi oraz wywołanie awarii systemu. Użytkownikom zaleca się niezwłoczną instalację poprawek, choć jako tymczasowe rozwiązanie możliwe jest wyłączenie wszystkich węzłów ICF z określoną właściwością w transakcji SICF.
Kolejnym krytycznym problemem jest luka CVE-2026-27690 (wynik CVSS 9.1) dotycząca mechanizmu Approuter w środowiskach innych niż Cloud Foundry. Podatność ta umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie ataku typu HTTP request smuggling. W efekcie może dojść do desynchronizacji żądań i odpowiedzi, co otwiera drogę do dalszych działań wymierzonych w infrastrukturę.
Trzecia krytyczna podatność, CVE-2026-44761 (wynik CVSS 9.1), dotyczy rozwiązania Commerce Cloud i wynika z zastosowania zakodowanych na sztywno danych uwierzytelniających. Problem wiąże się z przykładowymi skryptami konfiguracyjnymi, które były udostępniane w portalu pomocy SAP w celach deweloperskich i testowych. Jeśli administratorzy wykorzystali te skrypty w środowisku produkcyjnym bez zmiany domyślnych haseł, atakujący może uzyskać token dostępowy i manipulować danymi systemowymi.
Exploitation requires that the customer execute the sample script and retain the resulting OAuth2 client in production without replacing the hardcoded secret. Customers who removed the sample client or replaced the secret with a strong, unique value are not affected.
Pozostałe aktualizacje i zalecenia
Oprócz wymienionych wyżej luk, SAP wydał sześć not dotyczących błędów o wysokim stopniu ważności. Dotyczą one szerokiego spektrum rozwiązań, w tym:
Warto zaznaczyć, że aktualizacje dla Integration Suite oraz Commerce Cloud zawierają poprawki dla znanych luk w bibliotekach Apache Camel i Apache Tomcat. SAP zaktualizował również notę dotyczącą krytycznej podatności w NetWeaver, która była już łatana w czerwcu, rozszerzając wsparcie na dodatkowe pakiety. Pozostałe wydane poprawki adresują błędy o średnim i niskim stopniu ryzyka, występujące w systemach S/4HANA, Fiori, CRM oraz HANA Extended Application Services.
W przypadku Commerce Cloud, gdzie problem wynikał z niejasnej dokumentacji, zaleca się przeprowadzenie audytu środowisk produkcyjnych w celu sprawdzenia, czy w użyciu nie pozostały przykładowe konfiguracje OAuth2 z domyślnymi danymi dostępowymi.

