Mastodon Mastodon Mastodon Mastodon

SAP випустила липневі патчі безпеки 2026 для трьох критичних вразливостей

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Компанія SAP оприлюднила липневий пакет оновлень безпеки 2026 року, у якому усунено три критичні вразливості: пошкодження пам’яті в SAP NetWeaver Application Server ABAP (CVSS 9.9), контрабанда HTTP-запитів у SAP Approuter (CVSS 9.1) та використання облікових даних за замовчуванням у SAP Commerce Cloud (CVSS 9.1). Усі три вразливості дають змогу отримати несанкціонований доступ до даних або порушити роботу систем. Ознак активної експлуатації поки що не зафіксовано, однак критичність оцінок вимагає пріоритетного оновлення.

Технічні деталі вразливостей

CVE-2026-44747 — пошкодження пам’яті в NetWeaver ABAP (CVSS 9.9)

Найсерйозніша з трьох — CVE-2026-44747 — є вразливістю типу out-of-bounds write в SAP NetWeaver Application Server ABAP. Автентифікований атакувальник може експлуатувати логічні помилки в керуванні пам’яттю, що призводить до її пошкодження. Наслідки включають несанкціонований доступ до даних, їх модифікацію або повну недоступність системи.

Оцінка CVSS 9.9 — практично максимальна — пояснюється тим, що для експлуатації достатньо базової автентифікації, а вплив охоплює всі три ключові аспекти безпеки: конфіденційність, цілісність і доступність.

За даними дослідників з Onapsis, як тимчасове обхідне рішення пропонується вимкнути всі вузли ICF з певною властивістю в транзакції SICF. Однак таке обхідне рішення блокує відкриття транзакцій у SAP GUI for HTML, що робить його неприйнятним для багатьох організацій. Рекомендується встановити оновлену версію ядра ABAP Kernel.

CVE-2026-27690 — контрабанда HTTP-запитів у SAP Approuter (CVSS 9.1)

Вразливість CVE-2026-27690 впливає на розгортання SAP Approuter у середовищах, що не використовують Cloud Foundry. Неавтентифікований атакувальник може надіслати спеціально сформований HTTP-запит, який спричиняє десинхронізацію запитів і відповідей (request-response desynchronization). Це дає змогу перехоплювати відповіді, призначені іншим користувачам, а також здійснювати атаки типу «відмова в обслуговуванні».

Особливу небезпеку становить відсутність вимоги автентифікації: атаку можна здійснити ззовні без будь-яких облікових даних. Організаціям, які використовують SAP Approuter поза Cloud Foundry, варто розглядати цю вразливість як пріоритетну.

CVE-2026-44761 — облікові дані за замовчуванням у SAP Commerce Cloud (CVSS 9.1)

Вразливість CVE-2026-44761 пов’язана з тим, що в SAP Commerce Cloud може зберігатися зразок клієнта OAuth 2.0 з публічно задокументованими обліковими даними, запозиченими з прикладів конфігурації на порталі SAP Help Portal. Якщо ці дані не було змінено, неавтентифікований атакувальник може отримати дійсний токен доступу і через API читати та модифікувати дані системи.

Відповідно до опису в NVD, успішна експлуатація має високий вплив на конфіденційність і цілісність, але не впливає на доступність.

За даними Onapsis, вразливість виникла через скрипти конфігурації, які раніше надавалися на порталі SAP Help Portal. Ці скрипти, призначені для розробки й тестування, налаштовували клієнтів OAuth 2.0 із жорстко заданими загальновідомими обліковими даними. Як повідомляється, старі версії документації не містили чіткого попередження про неприпустимість імпорту цих налаштувань у продуктивне середовище.

Оцінка впливу

Усі три вразливості зачіпають ключові компоненти екосистеми SAP, які широко використовуються у великих і середніх підприємствах по всьому світу. NetWeaver ABAP — основа більшості інсталяцій SAP, Approuter забезпечує маршрутизацію в хмарних і гібридних сценаріях, а Commerce Cloud обслуговує платформи електронної комерції.

Найбільшому ризику піддаються організації, які:

  • Використовують SAP NetWeaver ABAP з доступом через SAP GUI for HTML
  • Розгорнули SAP Approuter поза середовищем Cloud Foundry
  • Запустили скрипти конфігурації з документації SAP Help Portal у продуктивному середовищі Commerce Cloud без заміни облікових даних

Рекомендації щодо усунення

  • CVE-2026-44747: встановити оновлену версію ядра ABAP Kernel. Обхідне рішення з вимкненням вузлів ICF у транзакції SICF припустиме лише як тимчасовий захід і не підходить для організацій, що залежать від SAP GUI for HTML.
  • CVE-2026-27690: застосувати патч із липневого пакета оновлень SAP. Організаціям із розгортаннями Approuter поза Cloud Foundry — перевірити конфігурацію маршрутизації та обмежити зовнішній доступ до встановлення оновлення.
  • CVE-2026-44761: провести аудит продуктивного середовища Commerce Cloud на наявність зразка клієнта OAuth 2.0 з обліковими даними за замовчуванням. Якщо такий клієнт виявлено — видалити його або замінити секрет на унікальне надійне значення. Організації, які вже видалили зразок клієнта або замінили секрет, не піддаються цій вразливості.

Жодна з трьох вразливостей на момент публікації не внесена до каталогу CISA Known Exploited Vulnerabilities і не має підтверджених випадків експлуатації. Втім, оцінки CVSS 9.1–9.9 однозначно вказують на необхідність пріоритетного оновлення: встановіть патчі з липневого пакета безпеки SAP у найближче вікно обслуговування, а для Commerce Cloud — негайно перевірте наявність зразка OAuth-клієнта в продуктивному середовищі, оскільки ця перевірка не потребує простою і може бути виконана вже зараз.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.