Az SAP kiadta a 2026. júliusi biztonsági frissítéseit, amelyek több sebezhetőséget is javítanak, köztük egy kritikus hibát az SAP NetWeaver Application Server ABAP komponensben.
A szóban forgó sebezhetőség a CVE-2026-44747 (CVSS pontszám: 9,9), egy határon túli írási hiba. Egy hitelesített támadó logikai hibákat használhat ki a memóriakezelésben, memóriakorrupciót okozva, ami jogosulatlan adat-hozzáféréshez, adatmódosításhoz vagy a rendszer elérhetetlenségéhez vezethet.
„Átmeneti kerülőmegoldásként a jegy azt javasolja, hogy a SICF tranzakcióban tiltsák le az összes olyan ICF-csomópontot, amely egy adott tulajdonsággal rendelkezik” – közölte az SAP-biztonsággal foglalkozó Onapsis közleménye. „Mivel ez a kerülőmegoldás letiltja a tranzakciók megnyitását SAP GUI for HTML felületen, nem minden ügyfél számára járható út, ezért nyomatékosan javasolt a javító ABAP kernel verzió telepítése.”
Az SAP két további kritikus sebezhetőséget is javított:
- CVE-2026-27690 (CVSS pontszám: 9,1) – HTTP request/response smuggling hiba SAP Approuter telepítésekben, nem-Cloud Foundry környezetben. Egy nem hitelesített támadó speciálisan kialakított HTTP kérést küldhet, ami kérés–válasz deszinkronizációt okoz, felhasználói válaszok kiszivárgásához vezet, és szolgáltatásmegtagadásos (DoS) támadásokat indíthat.
- CVE-2026-44761 (CVSS pontszám: 9,1) – alapértelmezett hitelesítő adatok használatából eredő hiba az SAP Commerce Cloudban. A rendszer megtarthat egy minta OAuth 2.0 klienst, amelyhez nyilvánosan dokumentált minta hitelesítő adatok tartoznak, egy az SAP Help Portal dokumentációjában szereplő minta konfiguráció alapján.
„Ha nem módosítják, egy nem hitelesített támadó ezeket a közismert hitelesítő adatokat használva érvényes hozzáférési tokent szerezhet, és bizonyos API-kat meghívva adatokat olvashat és módosíthat” – olvasható a CVE-2026-44761 leírásában az NIST National Vulnerability Database (NVD) adatbázisában. „A sikeres kihasználás nagy hatással van a bizalmasságra és a sértetlenségre, miközben a rendelkezésre állásra nincs hatása.”
Az Onapsis szerint a sebezhetőség az SAP Help Portal korábban közzétett minta konfigurációs scriptjeiből ered. Ezeket eredetileg fejlesztési és tesztelési célra szánták, és olyan OAuth 2.0 klienseket állítanak be, amelyekhez beégetett, közismert hitelesítő adatok tartoznak.
„A dokumentáció régebbi verziói nem figyelmeztették egyértelműen az ügyfeleket, hogy ezeket az alapértelmezett beállításokat ne importálják éles környezetbe” – jegyezte meg a cég. „Egy nem hitelesített támadó a nyilvánosan elérhető, alapértelmezett hitelesítő adatokat felhasználva érvényes hozzáférési tokent szerezhet. Ezzel a tokennel meghatározott API-kat hívhat meg, és rendszeradatokat olvashat, illetve módosíthat. A kihasználáshoz az szükséges, hogy az ügyfél lefuttassa a minta scriptet, és az így létrejött OAuth 2.0 klienst éles környezetben is megtartsa, anélkül hogy lecserélné a beégetett titkot.”
Akik eltávolították a minta klienst, vagy erős, egyedi értékre cserélték a titkot, nem érinti őket a hiba. Az ügyfeleknek javasolt átvizsgálniuk az éles környezetüket, hogy jelen van-e az érintett minta OAuth 2.0 kliens. Ha igen, el kell távolítani.
Bár egyelőre nincs bizonyíték arra, hogy a hibákat aktívan kihasználnák, a lehető legjobb védelem érdekében ajánlott mielőbb telepíteni a szükséges frissítéseket.

