SAP opublikował 29 nowych not bezpieczeństwa w ramach Patch Day February 2026 (w tym aktualizacje i wydania tymczasowe). To niemal wyrównanie rekordu z lipca 2025 i sygnał, że rok 2026 w zakresie bezpieczeństwa SAP rozpoczyna się intensywnie. W zestawie znalazły się 3 podatności krytyczne (HotNews) z najwyższym CVSS 9.9 oraz 7 podatności o priorytecie High.
KLUCZOWE ZAGROŻENIA:
1/ Code Injection w SAP CRM i S/4HANA Scripting Editor (CVSS 9.9),
2/ Missing Authorization check w NetWeaver AS ABAP – bypass S_RFC (CVSS 9.6),
3/ Code Injection w SAP Landscape Transformation (CVSS 9.1 – aktualizacja ze stycznia),
4/ XML Signature Wrapping w NetWeaver AS ABAP (CVSS 8.8),
5/ Trzy ataki DoS na platformę BusinessObjects BI (CVSS 7.3–7.5).
Przegląd wszystkich not bezpieczeństwa
Podatności krytyczne (HotNews)
Wymagają natychmiastowej reakcji – patching w ciągu 24–48 godzin. Poniżej szczegółowy opis każdej podatności.
SAP Note 3697099 | CVE-2026-0488 | CVSS: 9.9 | HotNews
Code Injection vulnerability in SAP CRM and SAP S/4HANA (Scripting Editor)
Komponent: CRM-IC-FRW | Dotknięte wersje: S4FND 102–109, WEBCUIF 700–801, SAP_ABA 700Opis podatności
Uwierzytelniony atakujący w SAP CRM i SAP S/4HANA (Scripting Editor) może wykorzystać lukę w generycznym wywołaniu modułu funkcyjnego do wykonania nieautoryzowanych krytycznych funkcjonalności, w tym wykonania dowolnych zapytań SQL. Prowadzi to do pełnego przejęcia bazy danych z wysokim wpływem na poufność, integralność i dostępność.
Rozwiązanie
Program został rozszerzony o dodatkowe kontrole oparte na liście dozwolonych (allowlist), zapobiegające wywoływaniu dowolnych modułów funkcyjnych. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie bezpieczeństwa.
Obejście (Workaround)
Dezaktywacja wpisu SICF dla CRM_IC_ISE: Default Host → SAP → BC → BSP → SAP → CRM_IC_ISE. Prawym przyciskiem myszy wybierz „Deactivate Service” i potwierdź. Po dezaktywacji stary Scripting Editor nie będzie dostępny.
Dodatkowe informacje: FAQ SAP Note 3709553
SAP Note 3674774 | CVE-2026-0509 | CVSS: 9.6 | HotNews
Missing Authorization check in SAP NetWeaver Application Server ABAP
and ABAP Platform
Komponent: BC-MID-RFC | Dotknięte wersje: KERNEL 7.22–9.19, KRNL64UC 7.22–7.53, KRNL64NUC 7.22 Opis podatności
SAP NetWeaver Application Server ABAP i ABAP Platform umożliwia uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wykonywanie zdalnych wywołań funkcji RFC w tle bez wymaganej autoryzacji S_RFC. Może to skutkować wysokim wpływem na integralność i dostępność aplikacji, bez wpływu na poufność.
Warunki wstępne
Kontrole autoryzacji nie były konsekwentnie egzekwowane w określonych scenariuszach, co pozwalało użytkownikom na wykonywanie działań poza ich autoryzowanymi uprawnieniami.
Rozwiązanie
Wzmocniono odpowiednie kontrole autoryzacji. Należy zaaplikować patch kernelowy i ustawić parametr profilu: rfc/authCheckInPlayback = 2. Dla SAP_BASIS 7.00–7.31 parametr należy dodać bezpośrednio w pliku profilu lub zastosować SAP Note 3684751. Dla SAP_BASIS 7.40+ można użyć rz11/rz10.
UWAGA: Ta poprawka wprowadza regresję dla Kernel 7.22, 7.53 i 7.54 – w takim przypadku należy dodatkowo wdrożyć SAP Note 3694152. Zmiana może wymagać przyznania dodatkowych uprawnień S_RFC użytkownikom. Klienci UCON mogą potrzebować przypisania dodatkowych funkcji do CA.
Obejście (Workaround)
Brak dostępnego obejścia.
Dodatkowe informacje: FAQ SAP Note 3676372
SAP Note 3697979 | CVE-2026-0491 | CVSS: 9.1 | HotNews
Code Injection Vulnerability in SAP Landscape Transformation
Komponent: CA-DT-ANA | Dotknięte wersje: DMIS 2011_1_700–2020Opis podatności
Aktualizacja noty opublikowanej pierwotnie w ramach January 2026 Patch Day. SAP Landscape Transformation umożliwia atakującemu z uprawnieniami administratora wykorzystanie podatności w module funkcyjnym wystawionym przez RFC. Luka umożliwia wstrzyknięcie dowolnego kodu ABAP lub poleceń systemu operacyjnego, omijając kontrole autoryzacji. Podatność działa jako backdoor, stwarzając ryzyko pełnego przejęcia systemu.
Lutowa aktualizacja: zmiana kosmetyczna (oznaczenie „zgłoszone zewnętrznie”). Jeśli zaaplikowałeś styczniową poprawkę – nie są wymagane dodatkowe działania.
Obejście (Workaround)
Brak dostępnego obejścia.
Dodatkowe informacje: FAQ SAP Note 3698186
Podatności wysokie (High)
Zalecany patching w ciągu 1–2 tygodni. Poniżej szczegółowy opis każdej podatności.
SAP Note 3697567 | CVE-2026-23687 | CVSS: 8.8 | High
XML Signature Wrapping in SAP NetWeaver AS ABAP and ABAP Platform
Komponent: BC-SEC-WSS | Dotknięte wersje: SAP_BASIS 700–918Opis podatności
SAP NetWeaver Application Server ABAP i ABAP Platform umożliwia uwierzytelnionemu atakującemu z normalnymi uprawnieniami uzyskanie ważnego podpisanego komunikatu i wysłanie zmodyfikowanych podpisanych dokumentów XML do weryfikatora. Może to skutkować akceptacją sfałszowanych informacji tożsamości, nieautoryzowanym dostępem do wrażliwych danych użytkowników i potencjalnym zakłóceniem normalnego działania systemu. Wpływ na pełne spektrum CIA.
Rozwiązanie
Dotknięte funkcje zostały ulepszone w celu prawidłowej weryfikacji XML Signature. Należy wdrożyć Support Packages i Patches wskazane w nocie.
Obejście (Workaround)
Dla uwierzytelniania: wyłączenie uwierzytelniania SAML. Dla innych zastosowań podpisanych dokumentów XML – brak dostępnego obejścia.
SAP Note 3705882 | CVE-2026-24322 | CVSS: 7.7 | High
Missing Authorization check in SAP Solution Tools Plug-In (ST-PI)
Komponent: SV-SMG-SDD | Dotknięte wersje: ST-PI 2008_1_700–758Opis podatności
SAP Solution Tools Plug-In (ST-PI) zawiera moduł funkcyjny, który nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionych użytkowników, umożliwiając ujawnienie wrażliwych informacji. Wysoki wpływ na poufność, brak wpływu na integralność i dostępność. Podatność wykryta przez zespół badawczy SecurityBridge.
Rozwiązanie
Dotknięty moduł funkcyjny nie ujawnia już wrażliwych informacji. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie.
Obejście (Workaround)
Brak dostępnego obejścia.
SAP Note 3703092 | CVE-2026-23689 | CVSS: 7.7 | High
Denial of service (DOS) in SAP Supply Chain Management
Komponent: SCM-APO-CA-COP | Dotknięte wersje: SCM 700–712, SCMAPO 713–Opis podatności
Uwierzytelniony atakujący z normalnymi uprawnieniami i dostępem sieciowym może wielokrotnie wywoływać zdalnie dostępny moduł funkcyjny z nadmiernie dużym parametrem kontroli pętli. Wywołuje to długotrwałe wykonanie pętli konsumujące nadmierne zasoby systemowe, potencjalnie czyniąc system niedostępnym. Wysoki wpływ na dostępność, brak wpływu na poufność i integralność.
Warunki wstępne
Dotknięty moduł funkcyjny był dostępny dla Remote Function Calls (RFC).
Rozwiązanie
Problem został złagodzony poprzez wymuszenie ścisłej walidacji danych wejściowych, zapobiegającej nadmiernej konsumpcji zasobów.
Obejście (Workaround)
Brak dostępnego obejścia.
SAP Note 3678282 | CVE-2026-0485 | CVSS: 7.5 | High
Denial of service (DOS) vulnerability in SAP BusinessObjects BI Platform
Komponent: BI-BIP-SRV | Dotknięte wersje: ENTERPRISE 430, 2025, 2027Opis podatności
Nieuwierzytelniony atakujący może wysyłać specjalnie spreparowane żądania powodujące awarię Content Management Server (CMS) i automatyczny restart. Powtarzając żądania, atakujący może wywołać trwałą przerwę w działaniu usługi, czyniąc CMS całkowicie niedostępnym. Serwer nie weryfikował prawidłowo rozmiaru danych wejściowych.
Rozwiązanie
Wdrożono kontrole bezpieczeństwa w warstwie komunikacji platformy SAP BusinessObjects BI, zapewniające, że wszystkie dane wymieniane między procesami pozostają w bezpiecznych limitach rozmiaru, zapobiegając przepełnieniom bufora.
Obejście (Workaround)
Wdrożenie konfiguracji CORBA SSL zgodnie z sekcją „Configuring backend servers for SSL” w rozdziale „Securing the BI platform” przewodnika administratora. Obejście tymczasowe – SAP zdecydowanie zaleca wdrożenie pełnej poprawki.
SAP Note 3654236 | CVE-2026-0490 | CVSS: 7.5 | High
Denial of service (DOS) in SAP BusinessObjects BI Platform
Komponent: BI-BIP-SRV | Dotknięte wersje: ENTERPRISE 430, 2025, 2027Opis podatności
Nieuwierzytelniony atakujący może spreparować specyficzne żądanie sieciowe do zaufanego endpointu, przerywając uwierzytelnianie i blokując dostęp legalnym użytkownikom platformy. Wysoki wpływ na dostępność, brak wpływu na poufność i integralność. Serwery Web Application nie weryfikowały, czy żądanie pochodzi z legalnego systemu.
Rozwiązanie
Klienci mogą teraz skonfigurować zaufany endpoint aplikacji webowej z mutual TLS (mTLS), akceptując zapytania wyłącznie z zaufanych serwerów backend. Po instalacji patcha należy postępować zgodnie z Knowledge Base Article 3672038.
Obejście (Workaround)
Segregacja krajobrazu na sieć wewnętrzną (komunikacja Web-tier i backend) oraz zewnętrzną (dostęp użytkowników do Web-tier). Blokowanie żądań z sieci zewnętrznej do autoryzowanego URL.
SAP Note 3692405 | CVE-2025-12383 | CVSS: 7.4 | High
Race Condition in SAP Commerce Cloud
Komponent: CEC-SCC-PLA-PL | Dotknięte wersje: HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21Opis podatności
W określonych warunkach SAP Commerce Cloud umożliwia uwierzytelnionemu użytkownikowi obejście walidacji SSL trust dla połączeń wychodzących z powodu race condition w bibliotece Eclipse Jersey (CVE-2025-12383). Wysoki wpływ na poufność i integralność. Problem dotyczy wyłącznie niestandardowych rozszerzeń korzystających z połączeń wychodzących opartych na Jersey z niestandardową konfiguracją SSL trust – domyślna konfiguracja Commerce Cloud nie jest dotknięta.
Rozwiązanie
Aktualizacja Eclipse Jersey do wersji niewrażliwej na CVE-2025-12383. Poprawka zawarta w: Commerce Cloud Patch Release 2205.47, Update Release 2211.49, Update Release 2211-jdk21.5.
Obejście (Workaround)
Brak dostępnego obejścia.
SAP Note 3674246 | CVE-2026-0508 | CVSS: 7.3 | High
Open Redirect vulnerability in SAP BusinessObjects Business Intelligence Platform
Komponent: BI-BIP-SEC | Dotknięte wersje: ENTERPRISE 430, 2025, 2027Opis podatności
Uwierzytelniony atakujący z wysokimi uprawnieniami może wstawić złośliwy URL do aplikacji. Po kliknięciu przez ofiarę, następuje niezweryfikowane przekierowanie do domeny kontrolowanej przez atakującego i pobranie złośliwej zawartości. Wysoki wpływ na poufność i integralność, brak wpływu na dostępność. Aplikacja pozwalała na udostępnianie linków bez niezbędnej walidacji.
Rozwiązanie
Wdrożono whitelisting po stronie serwera w celu zapobiegania niezweryfikowanym przekierowaniom do URL-i stron trzecich.
Obejście (Workaround)
Brak dostępnego obejścia.
Podatności średnie (Medium) i niskie (Low)
Planowanie w ramach regularnego cyklu patchowania.
Podatności o priorytecie MEDIUM (Średni)
- Nota 3695912 | CVE-2026-24324 | CVSS 6.5 – Denial of service (DOS) in SAP BusinessObjects BI Platform
- Nota 3672622 | CVE-2026-0484 | CVSS 6.5 – Missing Authorization check in SAP NetWeaver AS ABAP and SAP S/4HANA
- Nota 3688319 | CVE-2026-24328 | CVSS 6.1 – Open Redirection vulnerability in BSP Application (TAF_APPLAUNCHER)
- Nota 3678417 | CVE-2026-0505 | CVSS 6.1 – Multiple vulnerabilities in BSP Applications of SAP Document Management System
- Nota 3503138 | CVE-2025-0059 | CVSS 6.0 – Information Disclosure in SAP NetWeaver AS ABAP (SAP GUI for HTML)
- Nota 3689543 | CVE-2026-23684 | CVSS 5.9 – Race condition vulnerability in SAP Commerce Cloud
- Nota 3679346 | CVE-2026-24319 | CVSS 5.8 – Information Disclosure in SAP Business One (Client Memory Dump Files)
- Nota 3687771 | CVE-2026-24321 | CVSS 5.3 – Information Disclosure vulnerability in SAP Commerce Cloud
- Nota 3710111 | CVE-2026-24312 | CVSS 5.2 – Missing authorization check in SAP Business Workflow
- Nota 3691645 | CVE-2026-0486 | CVSS 5.0 – Missing Authorization Check in ABAP based SAP systems
- Nota 3697256 | CVE-2026-24325 | CVSS 4.8 – Cross Site Scripting (XSS) in SAP BusinessObjects Enterprise (CMC)
- Nota 3687285 | CVE-2026-23685 | CVSS 4.4 – Insecure Deserialization in SAP NetWeaver (JMS service)
- Nota 3122486 | CVE-2026-23683 | CVSS 4.3 – Missing Authorization check in SAP Fiori App (Intercompany Balance Reconciliation)
- Nota 3215823 | CVE-2026-23688 | CVSS 4.3 – Missing Authorization check in SAP Fiori App (Manage Service Entry Sheets)
- Nota 3678009 | CVE-2026-24326 | CVSS 4.3 – Missing authorization check in SAP S/4HANA Defense & Security
- Nota 3680390 | CVE-2026-24327 | CVSS 4.3 – Missing Authorization Check in SAP SEM (Balanced Scorecard)
- Nota 3680416 | CVE-2026-23681 | CVSS 4.3 – Missing Authorization check in a function module in SAP Support Tools Plug-In
Podatności o priorytecie LOW (Niski)
- Nota 3673213 | CVE-2026-23686 | CVSS 3.4 – CRLF Injection vulnerability in SAP NetWeaver AS Java
- Nota 3678313 | CVE-2026-24320 | CVSS 3.1 – Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform
Rekomendacje SNOK
Działania natychmiastowe (0–48h)
1. SAP Note 3697099 (Code Injection SAP CRM/S/4HANA Scripting Editor) – CVSS 9.9, najwyższy priorytet. Jeśli natychmiastowy patching nie jest możliwy, zastosuj workaround: dezaktywacja SICF entry dla CRM_IC_ISE.
2. SAP Note 3674774 (Missing Authorization RFC bypass) – CVSS 9.6. Zaaplikuj patch kernelowy + ustaw rfc/authCheckInPlayback = 2. Uwaga na regresje! Zaplanuj również przydział dodatkowych uprawnień S_RFC.
3. SAP Note 3697567 (XML Signature Wrapping) – CVSS 8.8, pełny wpływ CIA. Jako tymczasowe obejście można wyłączyć uwierzytelnianie SAML, jeśli to akceptowalne w Twoim krajobrazie.
Działania krótkoterminowe (1–2 tygodnie)
• Wdrożenie patchy dla BusinessObjects BI Platform (3678282, 3654236, 3674246) – trzy podatności High, w tym dwa ataki DoS bez wymaganego uwierzytelnienia
• Aktualizacja SAP Supply Chain Management (3703092) – DoS przez RFC, CVSS 7.7
• Patch dla SAP Solution Tools Plug-In ST-PI (3705882) – ujawnienie wrażliwych informacji
• Aktualizacja SAP Commerce Cloud (3692405) – race condition w SSL trust, dotyczy niestandardowych rozszerzeń Jersey
• Jeśli nie zaaplikowano w styczniu: SAP Note 3697979 (Code Injection w Landscape Transformation) – CVSS 9.1
Działania długoterminowe
• Wdrożenie automatycznego monitoringu SAP Security Notes z alertami dla HotNews i High
• Regularne przeglądy autoryzacji RFC i obiektów S_RFC – kluczowe dla prewencji Code Injection i SQL Injection
• Audyt kont z uprawnieniami administratora – minimalizacja ryzyka Code Injection (noty 3697979, 3697099)
• Przegląd konfiguracji SAML i podpisanych dokumentów XML w całym krajobrazie po nocie 3697567
• Weryfikacja konfiguracji SSL/TLS w Commerce Cloud, szczególnie w niestandardowych rozszerzeniach
• Rozważenie wdrożenia rozwiązania do ciągłego monitoringu bezpieczeństwa SAP (np. SecurityBridge)
Potrzebujesz wsparcia w zakresie SAP Security?
Zespół SNOK SAP Security jest do Twojej dyspozycji | www.snok.ai