Пријави инцидент
Пријави инцидент

SAP објави исправки за критични ранливости во NetWeaver и Commerce Cloud

Објавено: 10.06.2026

SAP објави исправки за 15 безбедносни ранливости како дел од безбедносниот пакет за јуни 2026 година, вклучувајќи четири критични пропусти што ги засегаат SAP NetWeaver и SAP Commerce Cloud.

SAP NetWeaver е основната апликативна платформа и middleware стек на SAP, која претставува темел за многу деловни апликации на компанијата, вклучувајќи ERP системи. Платформата обезбедува функции како извршување на апликации, интеграција на системи, автентикација, управување со корисници и обработка на податоци.

SAP Commerce Cloud, порано познат како Hybris, е платформа за електронска трговија наменета за претпријатија. Таа им овозможува на организациите да изградат и управуваат со онлајн продавници, дигитални продажни канали, каталози на производи, кориснички сметки и системи за управување со нарачки за B2B и B2C трговија.

Критични ранливости

Во месечниот безбедносен билтен, SAP ги наведе следните критични ранливости:

  • CVE-2026-44748 (CVSS 9.9) – ранливост од типот XML Signature Wrapping во SAP NetWeaver AS ABAP и ABAP Platform, која потенцијално овозможува заобиколување на автентикацијата во SAML околини.
  • CVE-2026-27671 (CVSS 9.8) – пропуст што предизвикува оштетување на меморијата во SAP NetWeaver/ABAP Platform Application Server ABAP.
  • CVE-2026-22732 (CVSS 9.1) – ранливост поврзана со Spring Security која ги засега SAP Commerce Cloud и SAP Data Hub.
  • CVE-2026-40128 (CVSS 9.0) – ранливост за пристап до директориуми надвор од дозволените патеки (directory traversal) во Web Container на SAP NetWeaver Application Server Java.

За CVE-2026-44748 SAP наведува:

„SAP NetWeaver Application Server ABAP и ABAP Platform му овозможуваат на автентификуван напаѓач со стандардни привилегии да добие валидно потпишана порака и да испрати изменети потпишани XML документи до системот за верификација.“

Ова може да резултира со прифаќање на изменети идентитетски информации, што може да доведе до неовластен пристап до чувствителни кориснички податоци и нарушување на нормалното функционирање на системот.

Во случајот со CVE-2026-27671, напаѓач може да ја искористи ранливоста без автентикација преку специјално изработени RFC барања испратени до ранливи крајни точки. Поради недоволна проверка во кернелот, може да дојде до оштетување на меморијата.

Други важни безбедносни проблеми

Покрај критичните ранливости, SAP исправи и две ранливости со висока сериозност:

  • CVE-2026-29145 – повеќе ранливости во Apache Tomcat кои влијаат на SAP Commerce Cloud.
  • CVE-2026-44751 – недостаток на проверка на овластувањата во SAP NetWeaver AS ABAP.

Компанијата исто така коригираше повеќе проблеми поврзани со:

  • SQL инјекција
  • пристап до недозволени патеки
  • Cross-Site Scripting (XSS)
  • лажно претставување преку е-пошта
  • заобиколување на механизми за авторизација

во различни SAP производи.

Деталните информации за ранливостите, како и препораките за нивно ублажување, се достапни само за SAP клиенти кои имаат пристап до безбедносниот портал на компанијата.

Организациите што ги користат засегнатите производи треба да дадат приоритет на инсталирањето на исправките, особено за CVE-2026-44748 (SAML автентикација) и CVE-2026-27671 (оштетување на меморијата), бидејќи овие пропусти се оценети со многу висока сериозност и можат да имаат значително влијание врз корпоративните ИТ-средини.

Извори:

  • Bleeping Computer – SAP fixes critical flaws in NetWeaver and Commerce Cloud Bleeping Computer