Czerwcowy Patch Day SAP przyniósł dwie noty HotNews uderzające w fundament większości krajobrazów SAP - Application Server ABAP. Obie mają ocenę, której nie da się odłożyć “na potem”.

Nota #3746332 - CVSS 9.9
XML Signature Wrapping w uwierzytelnianiu SAML. Zalogowany użytkownik o niskich uprawnieniach może spreparować podpisany dokument XML i podszyć się pod cudzą tożsamość. Efektem jest dostęp do wrażliwych danych oraz zakłócenie pracy systemu.
Obejście tymczasowe: wyłączenie SAML do czasu wgrania łatki.
Nota #3717897 - CVSS 9.8
Memory Corruption w protokole RFC. Tu nie potrzeba nawet konta - nieuwierzytelniony atakujący wysyła spreparowane żądanie RFC i wykorzystuje błąd w zarządzaniu pamięcią.
Brak wymaganego uwierzytelnienia oznacza brak naturalnej bariery wejścia.
Co to znaczy w praktyce
ABAP to nie peryferia. To rdzeń, na którym stoją finanse, logistyka i HR. Podatność z oceną 9.8 bez wymaganego logowania oznacza, że ekspozycja interfejsów RFC na sieć staje się realnym wektorem ataku - nie teoretycznym.
Nasze rekomendacje
- Priorytet dla obu not w najbliższym oknie serwisowym - to nie jest patch “na później”.
- Weryfikacja ekspozycji interfejsów RFC i SAML poza granicą zaufanej sieci.
- Tam, gdzie łatka nie wejdzie od ręki - obejście SAML oraz kontrola dostępu do bramy RFC.
Patch Day potrafi przytłoczyć liczbą not. Te dwie to jednak nie szum - to priorytet na bieżący tydzień.
Ciągły monitoring zmian, transakcji, RFC i konfiguracji ABAP realizujemy z wykorzystaniem platformy SecurityBridge - tak, aby skrócić cykl od publikacji noty do reakcji z tygodni do godzin. Szerzej o obowiązkach reakcji piszemy w kontekście audytu NIS2 / DORA / KSC dla SAP.
A jak u Państwa wygląda proces wgrywania krytycznych not SAP - planowo, czy dopiero “gdy coś się wydarzy”? Chętnie podyskutujemy.
Źródło: SAP Security Patch Day (czerwiec 2026), Onapsis Research Labs, support.sap.com.