Bezpieczny Wtorek ze SNOK, Cybersecurity, SAP, SAP Security

Bezpieczny Wtorek ze SNOK: SAP Security Patch Day — marzec 2026

10 marca, 202618 marca, 2026
Bezpieczny Wtorek ze SNOK: SAP Security Patch Day — marzec 2026

Drugi wtorek marca — a więc czas na kolejny SAP Security Patch Day. Tym razem SAP opublikował 20 not bezpieczeństwa. Mniej niż w lutym? Owszem. Ale wciąż znajdziemy tu dwie luki krytyczne z wynikiem CVSS powyżej 9.0 — a jedna z nich wywołuje wspomnienia, które wielu administratorów wolałoby zostawić w przeszłości.

Log4j wraca na scenę. Nie jako nowa luka, ale jako przypomnienie, że stare długi technologiczne potrafią odezwać się w najmniej spodziewanym momencie. Dorzućmy do tego niebezpieczną deserializację w NetWeaver Portal i mamy marcowy obraz, który trudno zignorować.

Marcowy bilans w liczbach

SAP opublikował łącznie 20 not bezpieczeństwa, obejmujących nowe poprawki, aktualizacje wcześniejszych not i wydania tymczasowe. Rozkład priorytetów prezentuje się następująco:

🔴 Hot News (krytyczne): 2 noty (CVSS 9.1–9.8)

🟠 High (wysoki): 2 noty (CVSS 7.7–8.8)

🟡 Medium (średni): 15 not (CVSS 4.3–6.5)

🟢 Low (niski): 1 nota (CVSS 3.5)

Większość to poprawki o średnim priorytecie — ale to nie znaczy, że można je odkładać na później. Brak kontroli autoryzacji, SQL Injection czy SSRF w środowisku produkcyjnym to realne ryzyka, które atakujący potrafią wykorzystać.

Luki krytyczne (Hot News) — CVSS 9.0+

1. Code Injection w SAP Quotation Management Insurance (CVSS 9.8)

SAP Note 3698553  |  CVE-2019-17571  |  Komponent: FS-QUO

Najwyższy wynik CVSS w tym miesiącu — 9.8 na 10. Problem? Biblioteka Apache Log4j. Tak, ta sama, która w grudniu 2021 roku wywołała alarm na skalę globalną. Moduł schedulera w aplikacji SAP Quotation Management Insurance korzysta z podatnej wersji Log4j, co pozwala na zdalne wykonanie dowolnego kodu. Rozwiązanie: natychmiastowa instalacja łatki lub ręczna aktualizacja komponentu. Istnieje także obejście opisane w nocie 3720225 — ale łatka jest rekomendowaną ścieżką.

2. Insecure Deserialization w SAP NetWeaver Enterprise Portal (CVSS 9.1)

SAP Note 3714585  |  CVE-2026-27685  |  Komponent: BC-PIN-PCD

Niebezpieczna deserializacja — kategoria luk, którą w ostatnich miesiącach widzimy w SAP coraz częściej. W tym przypadku dotyczy to administracji portalu NetWeaver. Łatka wprowadza dodatkową walidację treści i jest jedynym rozwiązaniem — obejścia brak. Szczegóły techniczne w nocie FAQ 3724167. Jeśli korzystasz z portalu NetWeaver — to priorytet numer jeden.

Luki o wysokim priorytecie

3. XML Signature Wrapping w SAP NetWeaver AS ABAP (CVSS 8.8)

SAP Note 3697567  |  CVE-2026-23687  |  Komponent: BC-SEC-WSS

Zaktualizowana nota z lutego — zmiany tekstowe, ale sam problem pozostaje poważny. XML Signature Wrapping pozwala na manipulację podpisanymi dokumentami XML, co może prowadzić do obejścia mechanizmów uwierzytelniania. Dotyczy każdego systemu NetWeaver ABAP korzystającego z usług webowych z podpisami XML.

4. Denial of Service w SAP Supply Chain Management (CVSS 7.7)

SAP Note 3719502  |  CVE-2026-27689  |  Komponent: SCM-APO-INT-EXT

Moduł funkcyjny z niekontrolowaną pętlą — klasyczny błąd, który może położyć cały system SCM. Atak typu DoS nie wymaga wysokich uprawnień, a jedynym rozwiązaniem jest instalacja łatki. Dla firm zależnych od planowania łańcucha dostaw — krytyczne.

Średni i niski priorytet — nie znaczy nieważny

15 not o średnim i 1 o niskim priorytecie tworzy główną masę marcowego Patch Day. To właśnie te poprawki najczęściej odkładane są „na później” — a to błąd. Sześć z nich dotyczy braków kontroli autoryzacji, co w praktyce oznacza, że nieupoważniony użytkownik może uzyskać dostęp do danych lub funkcji, do których nie powinien mieć wglądu. Omówmy kilka wybranych:

Insecure Storage w SAP Customer Checkout 2.0 (CVSS 5.6)

SAP Note 3708457  |  CVE-2026-24311  |  Komponent: IS-SE-CCO

Mniej znane rozwiązanie SAP, które działa jako lokalna instalacja Java i przechowuje dane w niezabezpieczony sposób. Nowi klienci powinni od razu użyć zaktualizowanej wersji. Obecni — muszą ręcznie włączyć poprawny mechanizm bezpiecznego przechowywania. Łatwo to przeoczyć, a konsekwencje mogą być bolesne.

Przestarzały OpenSSL w Adobe Document Services (CVSS 4.3)

SAP Note 3700960  |  Multiple CVEs  |  Komponent: BC-SRV-FP

Adobe Document Services to komponent, który często jest zainstalowany w systemie NetWeaver Java, choć niekoniecznie aktywnie używany. Przestarzała wersja OpenSSL w takim „uśpionym” komponencie to idealne blind spot dla atakującego. Przy okazji warto zweryfikować, które komponenty są faktycznie potrzebne — redukcja powierzchni ataku to fundament cyberodporności.

Odkrycie SecurityBridge: Missing Authorization w ST-PI (CVSS 5.0)

SAP Note 3707930  |  CVE-2026-24313  |  Komponent: SV-SMG-SDD

Warto odnotować, że jedna z marcowych luk została wykryta przez zespół badawczy SecurityBridge — naszego partnera w obszarze bezpieczeństwa SAP. Brak kontroli autoryzacji w SAP Solution Tools Plug-In (ST-PI) — komponencie obecnym praktycznie w każdym systemie SAP. To potwierdza, że aktywne badania bezpieczeństwa i responsible disclosure naprawdę działają.

Pełna lista 20 not bezpieczeństwa — marzec 2026

Poniżej pełne zestawienie wszystkich poprawek opublikowanych w ramach marcowego SAP Security Patch Day. Każda z nich zasługuje na ocenę w kontekście Twojego krajobrazu SAP:

1. [🔴 Hot News] CVSS 9.8

Code Injection w SAP Quotation Management Insurance (FS-QUO)

SAP Note 3698553  |  CVE-2019-17571

2. [🔴 Hot News] CVSS 9.1

Insecure Deserialization w SAP NetWeaver Enterprise Portal Administration

SAP Note 3714585  |  CVE-2026-27685

3. [🟠 High] CVSS 8.8

XML Signature Wrapping w SAP NetWeaver AS ABAP and ABAP Platform

SAP Note 3697567  |  CVE-2026-23687

4. [🟠 High] CVSS 7.7

Denial of Service (DoS) w SAP Supply Chain Management

SAP Note 3719502  |  CVE-2026-27689

5. [🟡 Medium] CVSS 6.5

Denial of Service (DoS) w SAP BusinessObjects BI Platform (AdminTools)

SAP Note 3695912  |  CVE-2026-24324

6. [🟡 Medium] CVSS 6.5

Missing Authorization check w SAP NetWeaver AS ABAP i SAP S/4HANA

SAP Note 3672622  |  CVE-2026-0484

7. [🟡 Medium] CVSS 6.4

Missing Authorization check w SAP NetWeaver Application Server for ABAP

SAP Note 3703856  |  CVE-2026-24309

8. [🟡 Medium] CVSS 6.4

SQL Injection w SAP NetWeaver (Feedback Notification)

SAP Note 3697355  |  CVE-2026-27684

9. [🟡 Medium] CVSS 6.4

Server-Side Request Forgery (SSRF) w SAP NetWeaver AS ABAP

SAP Note 3689080  |  CVE-2026-24316

10. [🟡 Medium] CVSS 6.1

DOM-based Cross-Site Scripting (XSS) w SAP Business One (Job Service)

SAP Note 3693543  |  CVE-2026-0489

11. [🟡 Medium] CVSS 5.9

Missing Authorization check w SAP Business Warehouse (Service API)

SAP Note 3703385  |  CVE-2026-27686

12. [🟡 Medium] CVSS 5.8

Missing Authorization check w SAP S/4HANA HCM Portugal i SAP ERP HCM Portugal

SAP Note 3701020  |  CVE-2026-27687

13. [🟡 Medium] CVSS 5.6

Insecure Storage Protection w SAP Customer Checkout 2.0

SAP Note 3708457  |  CVE-2026-24311

14. [🟡 Medium] CVSS 5.0

DLL Hijacking w SAP GUI for Windows z aktywnym GuiXT

SAP Note 3699761  |  CVE-2026-24317

15. [🟡 Medium] CVSS 5.0

Missing Authorization check w SAP NetWeaver AS ABAP

SAP Note 3704740  |  CVE-2026-27688

16. [🟡 Medium] CVSS 5.0

Missing Authorization check w SAP Solution Tools Plug-In (ST-PI) — wykryte przez SecurityBridge!

SAP Note 3707930  |  CVE-2026-24313

17. [🟡 Medium] CVSS 4.7

Cross-Site Scripting (XSS) w SAP NetWeaver Business Client for HTML

SAP Note 3396109  |  CVE-2024-22128

18. [🟡 Medium] CVSS 4.3

Denial of Service — przestarzała wersja OpenSSL w SAP NetWeaver AS Java (Adobe Document Services)

SAP Note 3700960  |  Multiple CVEs

19. [🟡 Medium] CVSS 4.3

Information Disclosure w SAP S/4HANA (Manage Payment Media)

SAP Note 3646297  |  CVE-2026-24314

20. [🟢 Low] CVSS 3.5

Missing Authorization check w SAP NetWeaver AS ABAP

SAP Note 3694383  |  CVE-2026-24310

Co z tego wynika?

Marcowy Patch Day potwierdza trend, który obserwujemy od kilku kwartałów. Po pierwsze — podatne biblioteki zewnętrzne (Log4j, OpenSSL) pozostają ulubionym wektorem ataku. Po drugie — deserializacja i brak kontroli autoryzacji to tematy, które wracają jak bumerang. Po trzecie — „uśpione” komponenty, o których zapominamy, mogą stać się najsłabszym ogniwem.

Czy Twoja organizacja ma proces, który gwarantuje przegląd każdego Patch Day w ciągu 48 godzin od publikacji? Jeśli nie — to dobry moment, żeby taki proces wdrożyć.

W SNOK pomagamy klientom w systematycznym zarządzaniu łatkami SAP — od identyfikacji brakujących poprawek, przez analizę wpływu, po wdrożenie. Współpracujemy z SecurityBridge, którego platforma daje pełen wgląd w stan bezpieczeństwa krajobrazu SAP i automatyzuje to, co do tej pory było żmudnym procesem ręcznym.

#SAPSecurity #PatchDay #BezpiecznyWtorekZeSNOK #SecurityBridge #CyberBezpieczenstwo

SNOK.AI
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.