SAP opublikował 14 lipca 2026 lipcowy pakiet poprawek bezpieczeństwa: 16 nowych not bezpieczeństwa, 1 advisory GitHub oraz 3 aktualizacje wcześniejszych not - łącznie 20 pozycji do przejrzenia. Na szczycie stawki cztery podatności o priorytecie HotNews, z których najwyższa - memory corruption w NetWeaver AS ABAP - ma CVSS 9.9.
KLUCZOWE ZAGROŻENIA:
1/ Memory Corruption w SAP NetWeaver AS ABAP (CVSS 9.9) - nota 3747367,
2/ HTTP Request Smuggling w SAP Approuter (CVSS 9.1) - nota 3720138,
3/ Niezabezpieczone poświadczenia testowe w SAP Commerce Cloud (CVSS 9.1) - nota 3753495,
4/ Directory Traversal w NetWeaver AS Java Web Container (CVSS 9.0) - nota 3727078.
Dwie z czterech not HotNews oraz część not High Priority powstały we współpracy z Onapsis Research Labs.
Co się stało - fakty
W drugi wtorek lipca, zgodnie z comiesięcznym harmonogramem, SAP opublikował lipcowy Security Patch Day. Rozkład według priorytetu:
- 4 HotNews (CVSS 9.0-9.9)
- 6 High Priority (CVSS 7.6-8.8)
- 8 Medium (CVSS 4.1-6.1)
- 2 Low (CVSS 3.3-3.7)

Trzy pozycje to aktualizacje not z poprzednich miesięcy (m.in. czerwcowa nota o Directory Traversal w NetWeaver AS Java oraz aktualizacja dotycząca Apache Log4j). Jedna pozycja to advisory opublikowane w bazie GitHub Advisory dla komponentu ui5/webcomponents-base.
To, co wyróżnia lipiec, to skala HotNews. Cztery noty w najwyższej kategorii w jednym miesiącu, z memory corruption na czele, to sytuacja wymagająca planu, nie pojedynczej łatki.
Podatności krytyczne (HotNews)
Wymagają natychmiastowej reakcji - patching w oknie 24-72 godzin. Poniżej szczegółowy opis każdej podatności.
SAP Note 3747367 | CVE-2026-44747 | CVSS 9.9 | HotNews
Memory Corruption Vulnerability in SAP NetWeaver Application Server ABAP
Komponent: BC-FES-ITS (NetWeaver AS ABAP) | Łatka dostarczana przez pakiety jądra: KRNL64NUC 7.22, 7.22EXT; KRNL64UC 7.22, 7.53, 7.54, 7.77, 7.89, 7.93; KERNEL 9.16-9.20
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis podatności
Błąd uszkodzenia pamięci w NetWeaver AS ABAP. Uwierzytelniony atakujący z niskimi uprawnieniami, działający zdalnie i bez interakcji użytkownika, może doprowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji, eskalacji uprawnień lub niedostępności systemu. Zmieniony scope (S:C) w wektorze CVSS oznacza, że skutki wychodzą poza komponent, w którym powstała podatność - stąd ocena 9.9 mimo wymaganego uwierzytelnienia.
Dlaczego to najważniejsza nota miesiąca
Łatka jest dostarczana przez pakiety jądra SAP, a zakres dotkniętych wersji (od 7.22 po 9.20) jest bardzo szeroki. W praktyce w większości krajobrazów SAP przynajmniej jeden system pracuje na jednej z tych wersji jądra - niezależnie od tego, czy to S/4HANA, czy klasyczny ECC. Dlatego reakcja zaczyna się od sprawdzenia poziomu patcha jądra, a nie od pojedynczego modułu.
SAP Note 3720138 | CVE-2026-27690 | CVSS 9.1 | HotNews
HTTP Request Smuggling in SAP Approuter
Komponent / wersje: SAP Approuter (node.js w wersji < 20.10.0)
Opis podatności
Desynchronizacja żądań i odpowiedzi (request/response smuggling) umożliwia nieuwierzytelnionemu atakującemu spoza środowiska Cloud Foundry manipulację ruchem HTTP przechodzącym przez Approuter. Konsekwencje obejmują przemycanie żądań w tle legalnych sesji, zatrucie cache oraz obejście kontroli dostępu na warstwie routingu. Poprawka wiąże się z aktualizacją zależności node.js.
SAP Note 3753495 | CVE-2026-44761 | CVSS 9.1 | HotNews
Insecure Sample Credentials in SAP Commerce Cloud
Komponent / wersje: HY_COM 2205; COM_CLOUD 2211, 2211-JDK21
Opis podatności
Domyślne poświadczenia OAuth2 pozostawione w skryptach przykładowych (sample) trafiły do środowisk produkcyjnych. Znane, wbudowane poświadczenia to jedna z najprostszych do wykorzystania klas podatności - atakujący nie musi łamać zabezpieczeń, wystarczy, że zna dane, które są jawne w dokumentacji lub przykładach. Reakcja to nie tylko wgranie noty, ale też rotacja i unieważnienie poświadczeń, które mogły zostać ujawnione.
SAP Note 3727078 | CVE-2026-40128 | CVSS 9.0 | HotNews (aktualizacja z czerwca)
Directory Traversal in SAP NetWeaver Application Server Java (Web Container)
Komponent / wersje: ENGINEAPI 7.50
Opis podatności
Przechodzenie katalogów w Web Container NetWeaver AS Java pozwala na dostęp do plików poza przewidzianym katalogiem aplikacji. Nota była pierwotnie opublikowana w czerwcu 2026 we współpracy z Onapsis Research Labs i w lipcu została zaktualizowana. Jeśli reagowaliście na nią w czerwcu, sprawdźcie zakres aktualizacji.
Podatności High Priority
| Nota | CVE | CVSS | Produkt / komponent | Typ podatności |
|---|---|---|---|---|
| 3758101 | CVE-2026-40860 (+ -40453, -33454) | 8.8 | SAP Integration Suite - Edge Integration Cell (< 8.43.11) | Wiele luk w Apache Camel |
| 3692165 | CVE-2026-0487 | 8.4 | SAProuter dla Windows | Przejęcie biblioteki DLL (DLL Hijacking) |
| 3748227 | CVE-2026-44752 | 8.2 | NetWeaver AS Java - Configuration Wizard (LMCTC 7.50) | Cross-Site Scripting (XSS) |
| 3741519 | CVE-2026-44745 | 8.1 | SAP Approuter | Open Redirect w OAuth2 |
| 3763800 | CVE-2026-43512 / -41293 / -43515 | 8.1 | Apache Tomcat w SAP Commerce Cloud | Wiele luk w Apache Tomcat |
| 3773304 | CVE-2026-58233 | 7.6 | Change and Transport System - Attach Tool | Zdalne wykonanie kodu (RCE) |
Trzy noty High Priority (Edge Integration Cell, Commerce Cloud/Tomcat) dotyczą podatności w komponentach open source osadzonych w produktach SAP - Apache Camel i Apache Tomcat. To przypomnienie, że powierzchnia ataku SAP nie kończy się na kodzie ABAP; obejmuje cały stos, w tym biblioteki zewnętrzne.
Na szczególną uwagę zasługuje nota 3773304 - RCE w narzędziu Attach Tool systemu transportowego (CTS). Zdalne wykonanie kodu w warstwie transportów to bezpośrednie ryzyko dla integralności krajobrazu, przez który przechodzą wszystkie zmiany między DEV, QAS i PRD.
Pełna lista not bezpieczeństwa - lipiec 2026
| Nota | CVE | CVSS | Priorytet | Produkt / komponent | Typ podatności |
|---|---|---|---|---|---|
| 3747367 | CVE-2026-44747 | 9.9 | HotNews | SAP NetWeaver AS ABAP (jądro) | Memory Corruption |
| 3720138 | CVE-2026-27690 | 9.1 | HotNews | SAP Approuter | HTTP Request Smuggling |
| 3753495 | CVE-2026-44761 | 9.1 | HotNews | SAP Commerce Cloud | Insecure Sample Credentials |
| 3727078 | CVE-2026-40128 | 9.0 | HotNews | NetWeaver AS Java (Web Container) | Directory Traversal (akt. z czerwca) |
| 3758101 | CVE-2026-40860 | 8.8 | High | SAP Integration Suite (Edge Integration Cell) | Wiele luk w Apache Camel |
| 3692165 | CVE-2026-0487 | 8.4 | High | SAProuter (Windows) | DLL Hijacking |
| 3748227 | CVE-2026-44752 | 8.2 | High | NetWeaver AS Java (Configuration Wizard) | XSS |
| 3741519 | CVE-2026-44745 | 8.1 | High | SAP Approuter | Open Redirect |
| 3763800 | CVE-2026-43512 | 8.1 | High | Apache Tomcat w SAP Commerce Cloud | Wiele luk w Apache Tomcat |
| 3773304 | CVE-2026-58233 | 7.6 | High | CTS Attach Tool | Remote Code Execution |
| 3746678 | CVE-2026-44759 | 6.1 | Medium | SAP NetWeaver Enterprise Portal | XSS |
| GHSA-p8gx-753q-v89p | CVE-2026-44767 | 6.1 | Medium | ui5/webcomponents-base (< 2.21.0) | Bypass allowlisty / iniekcja CSS |
| 3537373 | CVE-2026-44769 | 5.5 | Medium | SAP S/4HANA PPM | SQL Injection |
| 3754659 | CVE-2026-44760 | 4.7 | Medium | NetWeaver AS ABAP (BSP) | XSS |
| 3515598 | CVE-2026-44771 | 4.3 | Medium | SAP S/4HANA (Draft operation) | Brak sprawdzenia autoryzacji |
| 3713902 | CVE-2026-44770 | 4.3 | Medium | SAP S/4HANA (Create Single Payment) | Brak sprawdzenia autoryzacji |
| 3682699 | CVE-2026-24315 | 4.2 | Medium | SAP Fiori Launchpad | Path Traversal (akt. z czerwca) |
| 3155685 | CVE-2026-44768 | 4.1 | Medium | SAP CRM WebClient UI | Błędna konfiguracja bezpieczeństwa |
| 3732522 | CVE-2026-44753 | 3.7 | Low | SAP HANA XS classic | Ujawnienie informacji |
| 3726899 | CVE-2025-68161 | 3.3 | Low | NetWeaver AS Java | Apache Log4j (akt. z czerwca) |
Źródło: SAP Security Patch Day - July 2026 (support.sap.com) oraz analiza Onapsis Research Labs. Numery CVE dla części not Medium/Low należy potwierdzić w SAP Support Portal przy wdrożeniu.
Dlaczego to ważne dla polskich firm
Polskie firmy korzystające z SAP to najczęściej duże przedsiębiorstwa: produkcja, dystrybucja, retail, utilities, sektor publiczny. Dla wielu z nich SAP jest systemem rejestrowym - jedynym źródłem prawdy o finansach, zapasach i kontrahentach.
Łatka na poziomie jądra dotyka niemal każdego. Memory corruption z noty 3747367 nie jest podatnością w jednym module funkcjonalnym. Łatka jest dostarczana przez pakiety jądra SAP, a zakres dotkniętych wersji - od 7.22 po 9.20 - jest bardzo szeroki. W większości krajobrazów przynajmniej jeden system pracuje na jednej z tych wersji, niezależnie od tego, czy to ECC, czy S/4HANA. Pytanie nie brzmi „czy mnie to dotyczy”, lecz „która wersja jądra działa na moich systemach produkcyjnych”.
NIS2 obowiązuje od października 2024. Dla podmiotów kluczowych i ważnych oznacza to m.in. obowiązek zarządzania podatnościami i aktualizowania systemów w rozsądnym czasie. Brak reakcji na notę HotNews z CVSS 9.9 - przy jednoczesnym incydencie - to gotowe pytanie od organu nadzorczego: „kiedy wiedzieliście i co zrobiliście?”. W SNOK obejmujemy ten obszar audytem NIS2 i DORA.
DORA dla sektora finansowego idzie dalej. Instytucje finansowe mają obowiązek testowania i dokumentowania odporności operacyjnej. Niezałatana krytyczna podatność w systemie transakcyjnym to nie zaniedbanie techniczne - to ryzyko operacyjne wpisane w rejestr DORA.
Okno eksploatacji po Patch Day. Publikując notę, SAP pośrednio ujawnia, gdzie szukać błędu. Badacze i atakujący analizują poprawki w ciągu 24-72 godzin od publikacji. Systemy bez łatki stają się łatwiejszym celem niż przed Patch Day - bo lokalizacja podatności jest teraz publiczna. Przy notach o gotowych poświadczeniach (3753495) okno jest jeszcze krótsze.
W SNOK widzimy to regularnie: najtrudniejsze nie jest podjęcie decyzji o patchowaniu, ale zmieszczenie testu regresji i okna maintenance w harmonogramie produkcyjnym. To tutaj traci się tygodnie.
Jak zadziałać - cztery kroki bez korpo-procedur
Krok 1: Ustal ekspozycję w ciągu 24 godzin
Zacznij od jądra. Sprawdź wersje jądra na wszystkich systemach ABAP (transakcja SM51 / poziom patcha jądra) i zestaw je z listą dotkniętych wersji noty 3747367. Następnie zidentyfikuj, które z pozostałych produktów z listy faktycznie działają w Twoim krajobrazie: Approuter, Commerce Cloud, Integration Suite, SAProuter, CTS Attach Tool. To powinno być gotowe po jednej rozmowie z zespołem Basis.
Krok 2: Nadaj priorytety według realnej ekspozycji, nie tylko CVSS
Kolejność patchowania:
- Jądro ABAP (3747367) - priorytet numer jeden, bo dotyczy niemal każdego systemu.
- Approuter i Commerce Cloud (3720138, 3753495) - jeśli są wystawione do internetu, reagujesz natychmiast. Przy 3753495 pamiętaj o rotacji poświadczeń, nie tylko o łatce.
- CTS Attach Tool (3773304) - RCE w warstwie transportowej; nie jest HotNews, ale ryzyko dla integralności krajobrazu jest wysokie.
Krok 3: Zaplanuj okno maintenance
Test regresji przed wdrożeniem na produkcji to konieczność, nie opcja. Dla not HotNews realistyczny przebieg to: transport / patch jądra na DEV → test automatyczny lub manualny → QAS → okno na PRD. Dla not krytycznych wejdź poza standardowy cykl kwartalny. Aktualizacja jądra wymaga zwykle restartu - uwzględnij to w oknie.
Krok 4: Udokumentuj decyzję
Dla środowisk pod NIS2 lub DORA zapisz datę, osobę decyzyjną, wynik oceny ryzyka i planowany termin wdrożenia. To nie biurokracja - to dowód działania na wypadek kontroli.
Co SNOK rekomenduje
Pracujemy z SAP Basis i bezpieczeństwem SAP od lat - jako praktycy, nie konsultanci od arkuszy Excel. Lipiec 2026 to miesiąc z czterema notami HotNews, w tym z podatnością w jądrze ABAP o CVSS 9.9. To nie jest rutynowy Patch Day.
Nasze rekomendacje dla systemów produkcyjnych:
Jeśli masz jakikolwiek system ABAP (ECC, S/4HANA, NetWeaver): nota 3747367 jest łatana na poziomie jądra i przy tak szerokim zakresie wersji trafia do niemal każdego krajobrazu. Sprawdź poziom patcha jądra jeszcze w tym tygodniu.
Jeśli masz Approuter lub Commerce Cloud wystawione do internetu: noty 3720138 i 3753495 wymagają reakcji natychmiastowej. Przy Commerce Cloud rotacja poświadczeń OAuth2 jest równie ważna jak sama łatka.
Jeśli używasz Integration Suite lub Commerce Cloud: noty 3758101 i 3763800 łatają Apache Camel i Apache Tomcat. To komponenty open source w produktach SAP - warto włączyć je do stałego monitoringu podatności, nie tylko przy Patch Day.
Jeśli zarządzasz transportami przez CTS: nota 3773304 (RCE) chroni warstwę, przez którą przechodzą wszystkie zmiany w krajobrazie.
Jeśli potrzebujesz wsparcia w ocenie ekspozycji, aktualizacji jądra lub organizacji okna maintenance poza standardowym harmonogramem - zespół SNOK Basis jest dostępny. Bez pitchu sprzedażowego, bez trzytygodniowej oferty. Wspieramy też wdrożenia SecurityBridge, który automatyzuje mapowanie not bezpieczeństwa na Twój konkretny krajobraz i skraca krok pierwszy z godzin do minut.
Bezpieczny Wtorek ze SNOK ukazuje się regularnie po każdym SAP Patch Day. Następna edycja: sierpień 2026.
Jarosław Zdanowski - SAP Security, SNOK Sp. z o.o. SNOK: SAP · Cybersecurity · UiPath · Custom Dev · ISO 27001:2022