Kritická zraniteľnosť SAP Business Planning and Consolidation a SAP Business Warehouse

Vývojári spoločnosti SAP opravili kritickú zraniteľnosť v produktoch Business Planning and Consolidation a Business Warehouse, ktorá dovoľuje injektovať príkazy SQL. Útočník s nízkymi oprávneniami môže čítať, prepisovať a mazať dáta v databáze.

Zraniteľné systémy:

• SAP Business Planning and Consolidation HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816
• SAP Business Warehouse HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816

Opis činnosti:

CVE-2026-27681 (CVSS skóre 9,9)

Spoločnosť SAP opravila kritickú zraniteľnosť v produktoch SAP Business Planning and Consolidation a SAP Business Warehouse, ktorá vyplýva z nedostatočnej kontroly autorizácie. Chyba zabezpečenia umožňuje prihlásenému vzdialenému útočníkovi s nízkymi oprávneniami vykonávať príkazy SQL, a tak čítať, modifikovať a mazať údaje v databáze.

Útočník môže zneužiť nešpecifikovaný zraniteľný program ABAP, kam nahrá súbor obsahujúci ľubovoľné príkazy SQL. Tie sa následne vykonajú.

Možné škody:

• Vzdialené vykonanie príkazov
• Únik citlivých informácií
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia SAP Business Planning and Consolidation a SAP Business Warehouse aspoň na verziu opravenú v rámci aprílového balíka záplat.

Pre dočasnú mitigáciu zraniteľnosti je možné revokovať pre používateľské účty autorizačný objekt S_GUI s oprávnením Activity 60 (Upload).

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2026-27681
• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
• https://onapsis.com/blog/sap-security-notes-april-2026-patch-day/