SAP opravil v júli kritické zraniteľnosti v NetWeaver, Approuter a Commerce Cloud

Spoločnosť SAP vydala bezpečnostné aktualizácie svojich systémov, ktoré opravujú 17 zraniteľností. V SAP NetWeaver, SAP Approuter a SAP Commerce Cloud boli opravené 4 chyby zabezpečenia označené ako kritické.

Zraniteľné systémy:

  • SAP NetWeaver AS ABAP vo verziách  KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53. 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19, 9.20
  • SAP Commerce Cloud vo verziách HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
  • SAP Approuter s balíkom node.js starším ako 20.10.0

Opis zraniteľnosti:

CVE-2026-44747 (CVSS skóre 9,9)

Kritická zraniteľnosť s označením CVE-2026-44747 sa nachádza v SAP NetWeaver Application Server ABAP a vyplýva z možnosti zápisu do pamäte mimo povolené hodnoty. Vzdialenému autentifikovanému útočníkovi  s nízkymi oprávneniami umožňuje zneužiť logické chyby pri narábaní s pamäťou a získať prístup ku chráneným údajom, možnosť modifikovať ich, alebo spôsobiť nedostupnosť systému.

CVE-2026-27690 (CVSS skóre 9,1)

Kritická zraniteľnosť v SAP Approuter, ktorú spôsobuje rozdielny spôsob interpretácie HTTP požiadaviek. Neautentifikovaný vzdialený útočník môže vykonať útok typu HTTP Request Smuggling zaslaním špeciálne vytvorenej HTTP požiadavky, ktorá vyvolá nedostupnosť služby alebo sprístupní útočníkovi používateľské odpovede.

CVE-2026-44761 (CVSS skóre 9,1)

Kritická zraniteľnosť v SAP Commerce Cloud spôsobená prítomnosťou ukážkového klienta OAuth s verejne známymi prihlasovacími údajmi (v príklade konfigurácie v dokumentácii na SAP Help Portal). Neautentifikovaný vzdialený útočník môže tieto známe prihlasovacie údaje použiť pre získanie platného prístupového tokenu a čítanie a manipuláciu dát pomocou volaní API.

Ostatné zraniteľnosti sa okrem spomenutých produktov týkajú SAP Integration Suite, SAProuter, SAP Change and Transport System Attach Tool, knižnice ui5/webcomponents-base, SAP S/4HANA, SAP CRM a SAP HANA Extended Application Services. Vedú k úniku dát, obídeniu bezpečnostných prvkov, možnosti vykonávať kód a útoky typu SQL injecton a XSS, DL hijackingu alebo možnosti zneužiť otvorené presmerovanie.

Možné škody:

  • Neoprávnený prístup k citlivým údajom
  • Neautorizovaná modifikácia dát
  • Nedostupnosť služby (DoS)

Odporúčania:

Odporúčame bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované výrobcom.

Zdroje: