Przejdź do treści

SAP Security Patch Day - Lipiec 2026

SAP opublikował lipcowy pakiet poprawek bezpieczeństwa: 16 nowych not, 1 advisory GitHub i 3 aktualizacje wcześniejszych not. Na szczycie cztery podatności HotNews, w tym memory corruption w NetWeaver AS ABAP z CVSS 9.9. Sprawdź, co patchować pierwsze.

SAP opublikował 14 lipca 2026 lipcowy pakiet poprawek bezpieczeństwa: 16 nowych not bezpieczeństwa, 1 advisory GitHub oraz 3 aktualizacje wcześniejszych not - łącznie 20 pozycji do przejrzenia. Na szczycie stawki cztery podatności o priorytecie HotNews, z których najwyższa - memory corruption w NetWeaver AS ABAP - ma CVSS 9.9.

KLUCZOWE ZAGROŻENIA:

1/ Memory Corruption w SAP NetWeaver AS ABAP (CVSS 9.9) - nota 3747367,

2/ HTTP Request Smuggling w SAP Approuter (CVSS 9.1) - nota 3720138,

3/ Niezabezpieczone poświadczenia testowe w SAP Commerce Cloud (CVSS 9.1) - nota 3753495,

4/ Directory Traversal w NetWeaver AS Java Web Container (CVSS 9.0) - nota 3727078.

Dwie z czterech not HotNews oraz część not High Priority powstały we współpracy z Onapsis Research Labs.


Co się stało - fakty

W drugi wtorek lipca, zgodnie z comiesięcznym harmonogramem, SAP opublikował lipcowy Security Patch Day. Rozkład według priorytetu:

  • 4 HotNews (CVSS 9.0-9.9)
  • 6 High Priority (CVSS 7.6-8.8)
  • 8 Medium (CVSS 4.1-6.1)
  • 2 Low (CVSS 3.3-3.7)

Skala zagrożeń SAP Security Patch Day lipiec 2026 - rozkład 4 HotNews, 6 High, 8 Medium, 2 Low

Trzy pozycje to aktualizacje not z poprzednich miesięcy (m.in. czerwcowa nota o Directory Traversal w NetWeaver AS Java oraz aktualizacja dotycząca Apache Log4j). Jedna pozycja to advisory opublikowane w bazie GitHub Advisory dla komponentu ui5/webcomponents-base.

To, co wyróżnia lipiec, to skala HotNews. Cztery noty w najwyższej kategorii w jednym miesiącu, z memory corruption na czele, to sytuacja wymagająca planu, nie pojedynczej łatki.


Podatności krytyczne (HotNews)

Wymagają natychmiastowej reakcji - patching w oknie 24-72 godzin. Poniżej szczegółowy opis każdej podatności.

SAP Note 3747367 | CVE-2026-44747 | CVSS 9.9 | HotNews

Memory Corruption Vulnerability in SAP NetWeaver Application Server ABAP

Komponent: BC-FES-ITS (NetWeaver AS ABAP) | Łatka dostarczana przez pakiety jądra: KRNL64NUC 7.22, 7.22EXT; KRNL64UC 7.22, 7.53, 7.54, 7.77, 7.89, 7.93; KERNEL 9.16-9.20

CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Opis podatności

Błąd uszkodzenia pamięci w NetWeaver AS ABAP. Uwierzytelniony atakujący z niskimi uprawnieniami, działający zdalnie i bez interakcji użytkownika, może doprowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji, eskalacji uprawnień lub niedostępności systemu. Zmieniony scope (S:C) w wektorze CVSS oznacza, że skutki wychodzą poza komponent, w którym powstała podatność - stąd ocena 9.9 mimo wymaganego uwierzytelnienia.

Dlaczego to najważniejsza nota miesiąca

Łatka jest dostarczana przez pakiety jądra SAP, a zakres dotkniętych wersji (od 7.22 po 9.20) jest bardzo szeroki. W praktyce w większości krajobrazów SAP przynajmniej jeden system pracuje na jednej z tych wersji jądra - niezależnie od tego, czy to S/4HANA, czy klasyczny ECC. Dlatego reakcja zaczyna się od sprawdzenia poziomu patcha jądra, a nie od pojedynczego modułu.

SAP Note 3720138 | CVE-2026-27690 | CVSS 9.1 | HotNews

HTTP Request Smuggling in SAP Approuter

Komponent / wersje: SAP Approuter (node.js w wersji < 20.10.0)

Opis podatności

Desynchronizacja żądań i odpowiedzi (request/response smuggling) umożliwia nieuwierzytelnionemu atakującemu spoza środowiska Cloud Foundry manipulację ruchem HTTP przechodzącym przez Approuter. Konsekwencje obejmują przemycanie żądań w tle legalnych sesji, zatrucie cache oraz obejście kontroli dostępu na warstwie routingu. Poprawka wiąże się z aktualizacją zależności node.js.

SAP Note 3753495 | CVE-2026-44761 | CVSS 9.1 | HotNews

Insecure Sample Credentials in SAP Commerce Cloud

Komponent / wersje: HY_COM 2205; COM_CLOUD 2211, 2211-JDK21

Opis podatności

Domyślne poświadczenia OAuth2 pozostawione w skryptach przykładowych (sample) trafiły do środowisk produkcyjnych. Znane, wbudowane poświadczenia to jedna z najprostszych do wykorzystania klas podatności - atakujący nie musi łamać zabezpieczeń, wystarczy, że zna dane, które są jawne w dokumentacji lub przykładach. Reakcja to nie tylko wgranie noty, ale też rotacja i unieważnienie poświadczeń, które mogły zostać ujawnione.

SAP Note 3727078 | CVE-2026-40128 | CVSS 9.0 | HotNews (aktualizacja z czerwca)

Directory Traversal in SAP NetWeaver Application Server Java (Web Container)

Komponent / wersje: ENGINEAPI 7.50

Opis podatności

Przechodzenie katalogów w Web Container NetWeaver AS Java pozwala na dostęp do plików poza przewidzianym katalogiem aplikacji. Nota była pierwotnie opublikowana w czerwcu 2026 we współpracy z Onapsis Research Labs i w lipcu została zaktualizowana. Jeśli reagowaliście na nią w czerwcu, sprawdźcie zakres aktualizacji.


Podatności High Priority

NotaCVECVSSProdukt / komponentTyp podatności
3758101CVE-2026-40860 (+ -40453, -33454)8.8SAP Integration Suite - Edge Integration Cell (< 8.43.11)Wiele luk w Apache Camel
3692165CVE-2026-04878.4SAProuter dla WindowsPrzejęcie biblioteki DLL (DLL Hijacking)
3748227CVE-2026-447528.2NetWeaver AS Java - Configuration Wizard (LMCTC 7.50)Cross-Site Scripting (XSS)
3741519CVE-2026-447458.1SAP ApprouterOpen Redirect w OAuth2
3763800CVE-2026-43512 / -41293 / -435158.1Apache Tomcat w SAP Commerce CloudWiele luk w Apache Tomcat
3773304CVE-2026-582337.6Change and Transport System - Attach ToolZdalne wykonanie kodu (RCE)

Trzy noty High Priority (Edge Integration Cell, Commerce Cloud/Tomcat) dotyczą podatności w komponentach open source osadzonych w produktach SAP - Apache Camel i Apache Tomcat. To przypomnienie, że powierzchnia ataku SAP nie kończy się na kodzie ABAP; obejmuje cały stos, w tym biblioteki zewnętrzne.

Na szczególną uwagę zasługuje nota 3773304 - RCE w narzędziu Attach Tool systemu transportowego (CTS). Zdalne wykonanie kodu w warstwie transportów to bezpośrednie ryzyko dla integralności krajobrazu, przez który przechodzą wszystkie zmiany między DEV, QAS i PRD.


Pełna lista not bezpieczeństwa - lipiec 2026

NotaCVECVSSPriorytetProdukt / komponentTyp podatności
3747367CVE-2026-447479.9HotNewsSAP NetWeaver AS ABAP (jądro)Memory Corruption
3720138CVE-2026-276909.1HotNewsSAP ApprouterHTTP Request Smuggling
3753495CVE-2026-447619.1HotNewsSAP Commerce CloudInsecure Sample Credentials
3727078CVE-2026-401289.0HotNewsNetWeaver AS Java (Web Container)Directory Traversal (akt. z czerwca)
3758101CVE-2026-408608.8HighSAP Integration Suite (Edge Integration Cell)Wiele luk w Apache Camel
3692165CVE-2026-04878.4HighSAProuter (Windows)DLL Hijacking
3748227CVE-2026-447528.2HighNetWeaver AS Java (Configuration Wizard)XSS
3741519CVE-2026-447458.1HighSAP ApprouterOpen Redirect
3763800CVE-2026-435128.1HighApache Tomcat w SAP Commerce CloudWiele luk w Apache Tomcat
3773304CVE-2026-582337.6HighCTS Attach ToolRemote Code Execution
3746678CVE-2026-447596.1MediumSAP NetWeaver Enterprise PortalXSS
GHSA-p8gx-753q-v89pCVE-2026-447676.1Mediumui5/webcomponents-base (< 2.21.0)Bypass allowlisty / iniekcja CSS
3537373CVE-2026-447695.5MediumSAP S/4HANA PPMSQL Injection
3754659CVE-2026-447604.7MediumNetWeaver AS ABAP (BSP)XSS
3515598CVE-2026-447714.3MediumSAP S/4HANA (Draft operation)Brak sprawdzenia autoryzacji
3713902CVE-2026-447704.3MediumSAP S/4HANA (Create Single Payment)Brak sprawdzenia autoryzacji
3682699CVE-2026-243154.2MediumSAP Fiori LaunchpadPath Traversal (akt. z czerwca)
3155685CVE-2026-447684.1MediumSAP CRM WebClient UIBłędna konfiguracja bezpieczeństwa
3732522CVE-2026-447533.7LowSAP HANA XS classicUjawnienie informacji
3726899CVE-2025-681613.3LowNetWeaver AS JavaApache Log4j (akt. z czerwca)

Źródło: SAP Security Patch Day - July 2026 (support.sap.com) oraz analiza Onapsis Research Labs. Numery CVE dla części not Medium/Low należy potwierdzić w SAP Support Portal przy wdrożeniu.


Dlaczego to ważne dla polskich firm

Polskie firmy korzystające z SAP to najczęściej duże przedsiębiorstwa: produkcja, dystrybucja, retail, utilities, sektor publiczny. Dla wielu z nich SAP jest systemem rejestrowym - jedynym źródłem prawdy o finansach, zapasach i kontrahentach.

Łatka na poziomie jądra dotyka niemal każdego. Memory corruption z noty 3747367 nie jest podatnością w jednym module funkcjonalnym. Łatka jest dostarczana przez pakiety jądra SAP, a zakres dotkniętych wersji - od 7.22 po 9.20 - jest bardzo szeroki. W większości krajobrazów przynajmniej jeden system pracuje na jednej z tych wersji, niezależnie od tego, czy to ECC, czy S/4HANA. Pytanie nie brzmi „czy mnie to dotyczy”, lecz „która wersja jądra działa na moich systemach produkcyjnych”.

NIS2 obowiązuje od października 2024. Dla podmiotów kluczowych i ważnych oznacza to m.in. obowiązek zarządzania podatnościami i aktualizowania systemów w rozsądnym czasie. Brak reakcji na notę HotNews z CVSS 9.9 - przy jednoczesnym incydencie - to gotowe pytanie od organu nadzorczego: „kiedy wiedzieliście i co zrobiliście?”. W SNOK obejmujemy ten obszar audytem NIS2 i DORA.

DORA dla sektora finansowego idzie dalej. Instytucje finansowe mają obowiązek testowania i dokumentowania odporności operacyjnej. Niezałatana krytyczna podatność w systemie transakcyjnym to nie zaniedbanie techniczne - to ryzyko operacyjne wpisane w rejestr DORA.

Okno eksploatacji po Patch Day. Publikując notę, SAP pośrednio ujawnia, gdzie szukać błędu. Badacze i atakujący analizują poprawki w ciągu 24-72 godzin od publikacji. Systemy bez łatki stają się łatwiejszym celem niż przed Patch Day - bo lokalizacja podatności jest teraz publiczna. Przy notach o gotowych poświadczeniach (3753495) okno jest jeszcze krótsze.

W SNOK widzimy to regularnie: najtrudniejsze nie jest podjęcie decyzji o patchowaniu, ale zmieszczenie testu regresji i okna maintenance w harmonogramie produkcyjnym. To tutaj traci się tygodnie.


Jak zadziałać - cztery kroki bez korpo-procedur

Krok 1: Ustal ekspozycję w ciągu 24 godzin

Zacznij od jądra. Sprawdź wersje jądra na wszystkich systemach ABAP (transakcja SM51 / poziom patcha jądra) i zestaw je z listą dotkniętych wersji noty 3747367. Następnie zidentyfikuj, które z pozostałych produktów z listy faktycznie działają w Twoim krajobrazie: Approuter, Commerce Cloud, Integration Suite, SAProuter, CTS Attach Tool. To powinno być gotowe po jednej rozmowie z zespołem Basis.

Krok 2: Nadaj priorytety według realnej ekspozycji, nie tylko CVSS

Kolejność patchowania:

  • Jądro ABAP (3747367) - priorytet numer jeden, bo dotyczy niemal każdego systemu.
  • Approuter i Commerce Cloud (3720138, 3753495) - jeśli są wystawione do internetu, reagujesz natychmiast. Przy 3753495 pamiętaj o rotacji poświadczeń, nie tylko o łatce.
  • CTS Attach Tool (3773304) - RCE w warstwie transportowej; nie jest HotNews, ale ryzyko dla integralności krajobrazu jest wysokie.

Krok 3: Zaplanuj okno maintenance

Test regresji przed wdrożeniem na produkcji to konieczność, nie opcja. Dla not HotNews realistyczny przebieg to: transport / patch jądra na DEV → test automatyczny lub manualny → QAS → okno na PRD. Dla not krytycznych wejdź poza standardowy cykl kwartalny. Aktualizacja jądra wymaga zwykle restartu - uwzględnij to w oknie.

Krok 4: Udokumentuj decyzję

Dla środowisk pod NIS2 lub DORA zapisz datę, osobę decyzyjną, wynik oceny ryzyka i planowany termin wdrożenia. To nie biurokracja - to dowód działania na wypadek kontroli.


Co SNOK rekomenduje

Pracujemy z SAP Basis i bezpieczeństwem SAP od lat - jako praktycy, nie konsultanci od arkuszy Excel. Lipiec 2026 to miesiąc z czterema notami HotNews, w tym z podatnością w jądrze ABAP o CVSS 9.9. To nie jest rutynowy Patch Day.

Nasze rekomendacje dla systemów produkcyjnych:

Jeśli masz jakikolwiek system ABAP (ECC, S/4HANA, NetWeaver): nota 3747367 jest łatana na poziomie jądra i przy tak szerokim zakresie wersji trafia do niemal każdego krajobrazu. Sprawdź poziom patcha jądra jeszcze w tym tygodniu.

Jeśli masz Approuter lub Commerce Cloud wystawione do internetu: noty 3720138 i 3753495 wymagają reakcji natychmiastowej. Przy Commerce Cloud rotacja poświadczeń OAuth2 jest równie ważna jak sama łatka.

Jeśli używasz Integration Suite lub Commerce Cloud: noty 3758101 i 3763800 łatają Apache Camel i Apache Tomcat. To komponenty open source w produktach SAP - warto włączyć je do stałego monitoringu podatności, nie tylko przy Patch Day.

Jeśli zarządzasz transportami przez CTS: nota 3773304 (RCE) chroni warstwę, przez którą przechodzą wszystkie zmiany w krajobrazie.

Jeśli potrzebujesz wsparcia w ocenie ekspozycji, aktualizacji jądra lub organizacji okna maintenance poza standardowym harmonogramem - zespół SNOK Basis jest dostępny. Bez pitchu sprzedażowego, bez trzytygodniowej oferty. Wspieramy też wdrożenia SecurityBridge, który automatyzuje mapowanie not bezpieczeństwa na Twój konkretny krajobraz i skraca krok pierwszy z godzin do minut.


Bezpieczny Wtorek ze SNOK ukazuje się regularnie po każdym SAP Patch Day. Następna edycja: sierpień 2026.

Jarosław Zdanowski - SAP Security, SNOK Sp. z o.o. SNOK: SAP · Cybersecurity · UiPath · Custom Dev · ISO 27001:2022

Tematy: Bezpieczny Wtorek bezpieczenstwo-sap SecurityBridge SAP NetWeaver SAP Commerce Cloud NIS2
Spodobał się artykuł? Proszę podać go dalej:

Skontaktuj się z nami