Mastodon Mastodon Mastodon Mastodon

SAP закрывает три критические уязвимости с CVSS до 9.9 — NetWeaver, Approuter и Commerce Cloud

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Компания SAP опубликовала июльский пакет обновлений безопасности 2026 года, в котором устранены три критические уязвимости: повреждение памяти в SAP NetWeaver Application Server ABAP (CVSS 9.9), контрабанда HTTP-запросов в SAP Approuter (CVSS 9.1) и использование учётных данных по умолчанию в SAP Commerce Cloud (CVSS 9.1). Все три уязвимости позволяют получить несанкционированный доступ к данным или нарушить работу систем. Признаков активной эксплуатации пока не зафиксировано, однако критичность оценок требует приоритетного обновления.

Технические детали уязвимостей

CVE-2026-44747 — повреждение памяти в NetWeaver ABAP (CVSS 9.9)

Наиболее серьёзная из трёх — CVE-2026-44747 — представляет собой уязвимость типа out-of-bounds write в SAP NetWeaver Application Server ABAP. Аутентифицированный атакующий может эксплуатировать логические ошибки в управлении памятью, что приводит к повреждению памяти. Последствия включают несанкционированный доступ к данным, их модификацию или полную недоступность системы.

Оценка CVSS 9.9 — практически максимальная — объясняется тем, что для эксплуатации достаточно базовой аутентификации, а воздействие затрагивает все три ключевых аспекта безопасности: конфиденциальность, целостность и доступность.

По данным исследователей из Onapsis, в качестве временного обходного решения предлагается отключить все узлы ICF с определённым свойством в транзакции SICF. Однако это обходное решение блокирует открытие транзакций в SAP GUI for HTML, что делает его неприемлемым для многих организаций. Рекомендуется установить обновлённую версию ядра ABAP Kernel.

CVE-2026-27690 — контрабанда HTTP-запросов в SAP Approuter (CVSS 9.1)

Уязвимость CVE-2026-27690 затрагивает развёртывания SAP Approuter в средах, не использующих Cloud Foundry. Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос, вызывающий десинхронизацию запросов и ответов (request-response desynchronization). Это позволяет перехватывать ответы, предназначенные другим пользователям, а также проводить атаки типа «отказ в обслуживании».

Особую опасность представляет отсутствие требования аутентификации: атака может быть проведена извне без каких-либо учётных данных. Организациям, использующим SAP Approuter вне Cloud Foundry, следует рассматривать эту уязвимость как приоритетную.

CVE-2026-44761 — учётные данные по умолчанию в SAP Commerce Cloud (CVSS 9.1)

Уязвимость CVE-2026-44761 связана с тем, что в SAP Commerce Cloud может сохраняться образец клиента OAuth 2.0 с публично задокументированными учётными данными, взятыми из примеров конфигурации на портале SAP Help Portal. Если эти данные не были изменены, неаутентифицированный атакующий может получить действительный токен доступа и через API читать и модифицировать данные системы.

Согласно описанию в NVD, успешная эксплуатация оказывает высокое воздействие на конфиденциальность и целостность, но не влияет на доступность.

По данным Onapsis, уязвимость возникла из-за скриптов конфигурации, которые ранее предоставлялись на портале SAP Help Portal. Эти скрипты, предназначенные для разработки и тестирования, настраивали клиенты OAuth 2.0 с жёстко заданными общеизвестными учётными данными. Как сообщается, старые версии документации не содержали явного предупреждения о недопустимости импорта этих настроек в продуктивную среду.

Оценка воздействия

Все три уязвимости затрагивают ключевые компоненты экосистемы SAP, широко используемые в крупных и средних предприятиях по всему миру. NetWeaver ABAP — основа большинства SAP-инсталляций, Approuter обеспечивает маршрутизацию в облачных и гибридных сценариях, а Commerce Cloud обслуживает платформы электронной коммерции.

Наибольшему риску подвержены организации, которые:

  • Используют SAP NetWeaver ABAP с доступом через SAP GUI for HTML
  • Развернули SAP Approuter вне среды Cloud Foundry
  • Запустили скрипты конфигурации из документации SAP Help Portal в продуктивной среде Commerce Cloud без замены учётных данных

Рекомендации по устранению

  • CVE-2026-44747: установить обновлённую версию ядра ABAP Kernel. Обходное решение с отключением узлов ICF в транзакции SICF допустимо лишь как временная мера и не подходит для организаций, зависящих от SAP GUI for HTML.
  • CVE-2026-27690: применить патч из июльского пакета обновлений SAP. Организациям с развёртываниями Approuter вне Cloud Foundry — проверить конфигурацию маршрутизации и ограничить внешний доступ до установки обновления.
  • CVE-2026-44761: провести аудит продуктивной среды Commerce Cloud на наличие образца клиента OAuth 2.0 с учётными данными по умолчанию. Если такой клиент обнаружен — удалить его или заменить секрет на уникальное надёжное значение. Организации, которые уже удалили образец клиента или заменили секрет, не подвержены данной уязвимости.

Ни одна из трёх уязвимостей на момент публикации не внесена в каталог CISA Known Exploited Vulnerabilities и не имеет подтверждённых случаев эксплуатации. Тем не менее оценки CVSS 9.1–9.9 однозначно указывают на необходимость приоритетного обновления: установите патчи из июльского пакета безопасности SAP в ближайшее окно обслуживания, а для Commerce Cloud — немедленно проверьте наличие образца OAuth-клиента в продуктивной среде, поскольку эта проверка не требует простоя и может быть выполнена прямо сейчас.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.