Przejdź do treści

SAP Patch Day czerwiec 2026 - dwie noty krytyczne w sercu ABAP

Czerwcowy Patch Day SAP przyniósł dwie noty HotNews uderzające w Application Server ABAP: XML Signature Wrapping w SAML (CVSS 9.9) oraz Memory Corruption w protokole RFC (CVSS 9.8). Druga nie wymaga nawet uwierzytelnienia. To priorytet na ten tydzień, nie patch na później.

Czerwcowy Patch Day SAP przyniósł dwie noty HotNews uderzające w fundament większości krajobrazów SAP - Application Server ABAP. Obie mają ocenę, której nie da się odłożyć “na potem”.

Abstrakcyjna wizualizacja dwóch krytycznych luk w rdzeniu SAP uszczelnianych łatkami - styl SNOK Aurora

Nota #3746332 - CVSS 9.9

XML Signature Wrapping w uwierzytelnianiu SAML. Zalogowany użytkownik o niskich uprawnieniach może spreparować podpisany dokument XML i podszyć się pod cudzą tożsamość. Efektem jest dostęp do wrażliwych danych oraz zakłócenie pracy systemu.

Obejście tymczasowe: wyłączenie SAML do czasu wgrania łatki.

Nota #3717897 - CVSS 9.8

Memory Corruption w protokole RFC. Tu nie potrzeba nawet konta - nieuwierzytelniony atakujący wysyła spreparowane żądanie RFC i wykorzystuje błąd w zarządzaniu pamięcią.

Brak wymaganego uwierzytelnienia oznacza brak naturalnej bariery wejścia.

Co to znaczy w praktyce

ABAP to nie peryferia. To rdzeń, na którym stoją finanse, logistyka i HR. Podatność z oceną 9.8 bez wymaganego logowania oznacza, że ekspozycja interfejsów RFC na sieć staje się realnym wektorem ataku - nie teoretycznym.

Nasze rekomendacje

  1. Priorytet dla obu not w najbliższym oknie serwisowym - to nie jest patch “na później”.
  2. Weryfikacja ekspozycji interfejsów RFC i SAML poza granicą zaufanej sieci.
  3. Tam, gdzie łatka nie wejdzie od ręki - obejście SAML oraz kontrola dostępu do bramy RFC.

Patch Day potrafi przytłoczyć liczbą not. Te dwie to jednak nie szum - to priorytet na bieżący tydzień.

Ciągły monitoring zmian, transakcji, RFC i konfiguracji ABAP realizujemy z wykorzystaniem platformy SecurityBridge - tak, aby skrócić cykl od publikacji noty do reakcji z tygodni do godzin. Szerzej o obowiązkach reakcji piszemy w kontekście audytu NIS2 / DORA / KSC dla SAP.

A jak u Państwa wygląda proces wgrywania krytycznych not SAP - planowo, czy dopiero “gdy coś się wydarzy”? Chętnie podyskutujemy.


Źródło: SAP Security Patch Day (czerwiec 2026), Onapsis Research Labs, support.sap.com.

Tematy: Bezpieczny Wtorek bezpieczenstwo-sap SAP NetWeaver SecurityBridge PatchDay

Skontaktuj się z nami