Bezpieczny Wtorek ze SNOK, Cybersecurity, SAP, SAP Security

Bezpieczny Wtorek ze SNOK: SAP Security Patch Day – Styczeń 2026

13 stycznia, 20265 lutego, 2026
Bezpieczny Wtorek ze SNOK: SAP Security Patch Day – Styczeń 2026

SAP opublikował 17 nowych not bezpieczeństwa w ramach Patch Day January 2026. Jest to jeden z najpoważniejszych Patch Day – zawiera 4 podatności krytyczne (HotNews) z najwyższym CVSS 9.9.

KLUCZOWE ZAGROŻENIA:

1/ SQL Injection w S/4HANA General Ledger (CVSS 9.9),

2/ RCE w Wily Introscope (CVSS 9.6),

3/ Code Injection w S/4HANA i Landscape Transformation (CVSS 9.1),

4/ Privilege Escalation w SAP HANA Database (CVSS 8.8).

Przegląd wszystkich not bezpieczeństwa

Podatności krytyczne (HotNews)

Wymagają natychmiastowej reakcji – patching w ciągu 24-48 godzin. Poniżej szczegółowy opis każdej podatności.

SAP Note 3687749 |  CVE-2026-0501  |  CVSS: 9.9 | HotNews

SQL Injection Vulnerability in SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger)

Komponent: FI-GL-GL-G  | Dotknięte wersje: S4CORE 102-109

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis podatności

Niedostateczna walidacja danych wejściowych w SAP S/4HANA Private Cloud i On-Premise (Financials – General Ledger) umożliwia uwierzytelnionemu użytkownikowi wykonanie spreparowanych zapytań SQL w celu odczytu, modyfikacji i usunięcia danych z backendowej bazy danych. Prowadzi to do wysokiego wpływu na poufność, integralność i dostępność aplikacji.

Warunki wstępne

Podatność występuje tylko wtedy, gdy konfiguracja obiektu autoryzacyjnego S_RFC jest nieprawidłowa.

Rozwiązanie

Problem został naprawiony poprzez generowanie instrukcji SQL wewnętrznie w module funkcyjnym z użyciem zwalidowanych parametrów, co zapobiega wstrzykiwaniu danych kontrolowanych przez użytkownika do zapytania. Brak wpływu na istniejącą funkcjonalność po wdrożeniu noty bezpieczeństwa.

Obejście (Workaround)

Przegląd i ograniczenie obiektu autoryzacyjnego S_RFC w celu zapewnienia, że żaden zewnętrzny dostęp nie jest dozwolony do modułów funkcyjnych w grupie funkcji FGL_BCF. Te moduły funkcyjne są przeznaczone do wywoływania tylko wewnętrznie przez system jako część przetwarzania równoległego i nie mogą być wywoływane przez zewnętrzne interfejsy RFC.

Dodatkowe informacje: FAQ SAP Note 3700593

SAP Note 3668679 |  CVE-2026-0500  |  CVSS: 9.6 | HotNews

Remote Code Execution in SAP Wily Introscope Enterprise Manager (WorkStation)

Komponent: SV-SMG-DIA-WLY  | Dotknięte wersje: WILY_INTRO_ENTERPRISE 10.8

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Opis podatności

Podatność zdalnego wykonania kodu (RCE) w SAP Wily Introscope Enterprise Manager umożliwia nieuwierzytelnionemu atakującemu utworzenie złośliwego pliku JNLP (Java Network Launch Protocol) dostępnego przez URL. Gdy ofiara kliknie na URL, serwer Wily Introscope może wykonać polecenia na aplikacji ofiary. Może to całkowicie naruszyć poufność, integralność i dostępność aplikacji.

Warunki wstępne

Atak wymaga interakcji użytkownika (kliknięcie w złośliwy link). Atakujący nie musi być uwierzytelniony.

Rozwiązanie

Kod generowania JNLP został zaktualizowany. Wszystkie parametry żądania są teraz prawidłowo obsługiwane i walidowane. Zapewnia to poprawne generowanie JNLP bez niezamierzonego lub szkodliwego kodu. Należy zainstalować Enterprise Manager 10.8 SP01 Patch 2 (10.8.0.220).

Obejście (Workaround)

Brak dostępnego obejścia. Jako rozwiązanie alternatywne klienci mogą przejść na odpowiedni samodzielny pakiet workstation z Software Center zamiast uruchamiania aplikacji przez plik .jnlp. Samodzielny pakiet zapewnia tę samą funkcjonalność aplikacji bez polegania na uruchamianiu JNLP.

Dodatkowe informacje: FAQ SAP Note 3702381

SAP Note 3697979 |  CVE-2026-0491  |  CVSS: 9.1 | HotNews

Code Injection Vulnerability in SAP Landscape Transformation

Komponent: CA-LT-ANA  | Dotknięte wersje: DMIS 2011_1_700 – 2020

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Opis podatności

SAP Landscape Transformation umożliwia atakującemu z uprawnieniami administratora wykorzystanie podatności w module funkcyjnym wystawionym przez RFC. Ta luka umożliwia wstrzyknięcie dowolnego kodu ABAP lub poleceń systemu operacyjnego do systemu, omijając niezbędne kontrole autoryzacji. Podatność ta efektywnie działa jako backdoor, stwarzając ryzyko pełnego przejęcia systemu i podważając poufność, integralność oraz dostępność systemu.

Warunki wstępne

Atakujący musi posiadać uprawnienia administratora w systemie SAP.

Rozwiązanie

Problem został naprawiony poprzez usunięcie kodu powodującego podatność. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie bezpieczeństwa.

Obejście (Workaround)

Brak dostępnego obejścia dla tej noty bezpieczeństwa.

Dodatkowe informacje: FAQ SAP Note 3698186

SAP Note 3694242 |  CVE-2026-0498  |  CVSS: 9.1 | HotNews

Code Injection Vulnerability in SAP S/4HANA (Private Cloud and On-Premise)

Komponent: CA-DT-ANA  | Dotknięte wersje: S4CORE 102-109

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Opis podatności

SAP S/4HANA (Private Cloud i On-Premise) umożliwia atakującemu z uprawnieniami administratora wykorzystanie podatności w module funkcyjnym wystawionym przez RFC. Ta luka umożliwia wstrzyknięcie dowolnego kodu ABAP lub poleceń OS do systemu, omijając niezbędne kontrole autoryzacji. Podatność ta efektywnie działa jako backdoor, stwarzając ryzyko pełnego przejęcia systemu i podważając poufność, integralność oraz dostępność systemu.

Warunki wstępne

Atakujący musi posiadać uprawnienia administratora w systemie SAP.

Rozwiązanie

Problem został naprawiony poprzez usunięcie kodu powodującego podatność. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie bezpieczeństwa.

Obejście (Workaround)

Brak dostępnego obejścia dla tej noty bezpieczeństwa.

Dodatkowe informacje: FAQ SAP Note 3698254

Podatności wysokie (High)

Zalecany patching w ciągu 1-2 tygodni. Poniżej szczegółowy opis każdej podatności.

SAP Note 3691059 |  CVE-2026-0492  |  CVSS: 8.8 | High

Privilege Escalation Vulnerability in SAP HANA Database

Komponent: HAN-DB-SEC  | Dotknięte wersje: HDB 2.00 (SPS07, SPS08)

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Opis podatności

Baza danych SAP HANA jest podatna na eskalację uprawnień, umożliwiając atakującemu z ważnymi poświadczeniami dowolnego użytkownika przełączenie się na innego użytkownika, potencjalnie uzyskując dostęp administracyjny. Wykorzystanie tej luki może skutkować całkowitym naruszeniem poufności, integralności i dostępności systemu.

Warunki wstępne

Atakujący musi posiadać ważne poświadczenia dowolnego użytkownika w systemie SAP HANA.

Rozwiązanie

Poprawka zapobiega nieautoryzowanemu przełączaniu użytkowników. Należy zaktualizować SAP HANA2 do co najmniej następujących wersji: SPS07: revision 79.07, SPS08: revision 88. Uwaga: SAP HANA2 SPS05 i SPS06 nie są dotknięte tą podatnością.

Obejście (Workaround)

Brak dostępnego obejścia.

SAP Note 3675151 |  CVE-2026-0507  |  CVSS: 8.4 | High

OS Command Injection Vulnerability in SAP Application Server for ABAP and SAP NetWeaver RFCSDK

Komponent: BC-MID-RFC-SDK  | Dotknięte wersje: KERNEL 7.53-9.16, NWRFCSDK 7.50

CVSS Vector: CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Opis podatności

Podatność OS Command Injection w SAP Application Server for ABAP i SAP NetWeaver RFCSDK umożliwia uwierzytelnionemu atakującemu z dostępem administracyjnym i dostępem do sieci sąsiedniej przesłanie specjalnie spreparowanej zawartości na serwer. Jeśli zawartość zostanie przetworzona przez aplikację, umożliwia to wykonanie dowolnych poleceń systemu operacyjnego. Pomyślne wykorzystanie może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu.

Warunki wstępne

Jeśli rfcExec był używany jako started server i korzystał z pliku bezpieczeństwa rfcExec.sec, parametr COMMAND otrzymany w żądaniu był nieprawidłowo porównywany z wartością w rfcExec.sec. Jeśli wartości się zgadzały, żądanie było odrzucane. W przeciwnym razie żądanie było dozwolone. Wartość wildcard działała zgodnie z oczekiwaniami.

Rozwiązanie

Poprawka wprowadza dodatkową walidację zapobiegającą nieautoryzowanemu wstrzykiwaniu poleceń OS. Dla własnych rozwiązań opartych na rfcExec z NW RFC SDK 7.50 należy pobrać patch level 18 lub nowszy zgodnie z SAP Note 2573790.

Obejście (Workaround)

Brak dostępnego obejścia.

SAP Note 3688703 |  CVE-2026-0506  |  CVSS: 8.1 | High

Missing Authorization Check in SAP NetWeaver Application Server ABAP and ABAP Platform

Komponent: BC-DWB-DIC-F4  | Dotknięte wersje: SAP_BASIS 700-816

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Opis podatności

Brak kontroli autoryzacji w Application Server ABAP i ABAP Platform umożliwia uwierzytelnionemu atakującemu nadużycie funkcji RFC do wykonywania procedur form (FORMs) w systemie ABAP. Pomyślne wykorzystanie może pozwolić atakującemu na zapis lub modyfikację danych dostępnych przez FORMs oraz wywoływanie funkcjonalności systemowej eksponowanej przez FORMs, skutkując wysokim wpływem na integralność i dostępność, podczas gdy poufność pozostaje nienaruszona.

Warunki wstępne

Funkcja RFC w Application Server ABAP była nadużywana do wykonywania procedur FORM (FORMs) w systemie ABAP.

Rozwiązanie

Ta poprawka wyłącza funkcję i usuwa ją z przyszłych wersji. Należy wdrożyć Support Packages lub Correction Instructions wskazane w nocie bezpieczeństwa.

Obejście (Workaround)

Brak dostępnego obejścia.

SAP Note 3565506 |  CVE-2026-0511  |  CVSS: 8.1 | High

Multiple Vulnerabilities in SAP Fiori App (Intercompany Balance Reconciliation)

Komponent: FI-LOC-FI-RU  | Dotknięte wersje: S4CORE 105-108, UIAPFI70 500-902

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Opis podatności

Ta nota bezpieczeństwa adresuje trzy podatności w aplikacji SAP Fiori Intercompany Balance Reconciliation:  1) Authorization Issue [CVE-2026-0511]: Aplikacja nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, skutkując eskalacją uprawnień. Wysoki wpływ na poufność i integralność aplikacji. CVSS: 8.1  2) Insecure File Operations [CVE-2026-0496]: Aplikacja umożliwia atakującemu z wysokimi uprawnieniami przesłanie dowolnego pliku (w tym skryptów) bez prawidłowej walidacji formatu pliku. Niski wpływ na poufność, integralność i dostępność. CVSS: 6.6  3) Security Misconfiguration [CVE-2026-0495]: Aplikacja umożliwia atakującemu z wysokimi uprawnieniami wysyłanie przesłanych plików na dowolne adresy email, co może umożliwić efektywne kampanie phishingowe. Niski wpływ na poufność, integralność i dostępność. CVSS: 5.1

Warunki wstępne

Podatności wynikają z brakujących kontroli autoryzacji oraz braku odpowiedniej ochrony przed nieograniczonym przesyłaniem plików.

Rozwiązanie

Dla problemu autoryzacji – wdrożono kontrole autoryzacji w funkcjonalności aplikacji. Dla problemu niebezpiecznych operacji na plikach – wdrożono ograniczenia przesyłania plików w aplikacji. Dla problemu błędnej konfiguracji bezpieczeństwa – usunięto opcję wysyłania plików na dowolne adresy email.

Obejście (Workaround)

Ograniczenie dostępu do dotkniętej funkcjonalności do zaufanych użytkowników poprzez kontrole organizacyjne i administracyjne do czasu wdrożenia poprawki. Jest to środek tymczasowy, nie rozwiązanie stałe.

Podatności średnie (Medium)

Planowanie w ramach regularnego cyklu patchowania.

3681523 | CVE-2026-0503 | CVSS 6.4 | Medium

Missing Authorization in SAP EHS Management

EHS-SAF | SAP ECC, S/4HANA

3666061 | CVE-2026-0514 | CVSS 6.1 | Medium

Cross-Site Scripting in SAP Business Connector

BC-MID-BUS | SAP Business Connector

3687372 | CVE-2026-0499 | CVSS 6.1 | Medium

Cross-Site Scripting in SAP NetWeaver Enterprise Portal

EP-PIN-NAV | SAP NetWeaver EP

3638716 | CVE-2026-0513 | CVSS 4.7 | Medium

Open Redirect in SAP Supplier Relationship Management

SRM-EBP-CAT | SAP SRM

3677111 | CVE-2026-0497 | CVSS 4.3 | Medium

Missing Authorization in Product Designer Web UI

PLM-PPM-PDN | BSP Application

3655229 | CVE-2026-0493 | CVSS 4.3 | Medium

CSRF in SAP Fiori App (Intercompany Balance Reconciliation)

FI-LOC-FI-RU | SAP Fiori App

3655227 | CVE-2026-0494 | CVSS 4.3 | Medium

Information Disclosure in SAP Fiori App (Intercompany Balance Reconciliation)

FI-LOC-FI-RU | SAP Fiori App

Podatności niskie (Low)

Wdrożenie podczas planowanych okien serwisowych.

3657998 | CVE-2026-0504 | CVSS 3.8 | Low

Insufficient Input Handling in SAP Identity Management JNDI Operations

BC-IAM-IDM | SAP IdM

3593356 | CVE-2026-0510 | CVSS 3 | Low

Obsolete Encryption Algorithm in NW AS Java UME User Mapping

BC-JAS-SEC-UME | SAP NW AS Java

Rekomendacje SNOK

Działania natychmiastowe (0-48h)

1. SAP Note 3687749 (SQL Injection S/4HANA GL) – CVSS 9.9, najwyższy priorytet. Jeśli natychmiastowy patching nie jest możliwy, zastosuj workaround: ograniczenie obiektu autoryzacyjnego S_RFC dla grupy funkcji FGL_BCF.

2. SAP Note 3668679 (RCE Wily Introscope) – CVSS 9.6, atak nieuwierzytelniony. Natychmiast zainstaluj Enterprise Manager 10.8 SP01 Patch 2 lub przejdź na standalone workstation.

3. SAP Note 3691059 (Privilege Escalation HANA) – CVSS 8.8, krytyczne dla bezpieczeństwa bazy danych. Aktualizacja do SPS07 rev 79.07 lub SPS08 rev 88.

Działania krótkoterminowe (1-2 tygodnie)

•       Wdrożenie patchy dla Code Injection (3694242, 3697979) – działają jako backdoory, wymagają uprawnień admina

•       Aktualizacja SAP NetWeaver RFCSDK (3675151) – OS Command Injection w sieci sąsiedniej

•       Patch dla SAP NetWeaver AS ABAP (3688703) – brak autoryzacji RFC umożliwia wykonanie FORMs

•       Przegląd aplikacji Fiori Intercompany Balance Reconciliation (3565506) – trzy powiązane podatności

Działania długoterminowe

•       Wdrożenie automatycznego monitoringu SAP Security Notes z alertami dla HotNews

•       Regularne przeglądy autoryzacji RFC i obiektów S_RFC – kluczowe dla prewencji SQL Injection

•       Audyt kont z uprawnieniami administratora – minimalizacja ryzyka Code Injection

•       Rozważenie wdrożenia rozwiązania do ciągłego monitoringu bezpieczeństwa SAP (np. SecurityBridge)

Potrzebujesz wsparcia w zakresie SAP Security?

Zespół SNOK SAP Security jest do Twojej dyspozycji | www.snok.ai

SNOK.AI
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.