SAP устранила критические уязвимости в NetWeaver и Commerce Cloud

В рамках июньского пакета обновлений безопасности SAP June 2026 Security Patch компания выпустила исправления для 15 уязвимостей, четыре из которых имеют критический уровень опасности и затрагивают SAP NetWeaver и SAP Commerce Cloud.

Критические уязвимости

• CVE-2026-44748 (CVSS 9.9) — XML Signature Wrapping в SAP NetWeaver AS ABAP и ABAP Platform. Потенциально позволяет обойти аутентификацию в SAML-средах: атакующий может получить подписанное сообщение и отправить верификатору изменённый XML-документ, что приведёт к принятию поддельных данных об идентификации и несанкционированному доступу.
• CVE-2026-27671 (CVSS 9.8) — повреждение памяти в SAP NetWeaver/ABAP Platform. Эксплуатируется без аутентификации: атакующий отправляет специально сформированные RFC-запросы на уязвимые конечные точки, используя некорректную проверку на уровне ядра.
• CVE-2026-22732 (CVSS 9.1) — уязвимость, связанная с Spring Security, затрагивающая SAP Commerce Cloud и SAP Data Hub.
• CVE-2026-40128 (CVSS 9.0) — обход каталога (directory traversal) в веб-контейнере SAP NetWeaver Application Server Java.

Уязвимости высокой степени опасности

• CVE-2026-29145 — множественные уязвимости Apache Tomcat, затрагивающие Commerce Cloud
• CVE-2026-44751 — отсутствие проверки авторизации в NetWeaver AS ABAP

Помимо этого, устранены различные уязвимости типа SQL-инъекция, path traversal, XSS, подмена email и обход авторизации в нескольких продуктах SAP.

Что делать?

Организациям, использующим затронутые продукты, рекомендуется в приоритетном порядке установить обновления — особенно для уязвимостей CVE-2026-44748 (обход SAML-аутентификации) и CVE-2026-27671 (повреждение памяти), которые могут оказать серьёзное воздействие на корпоративные среды.

Подробная информация об уязвимостях и инструкции по устранению доступны только для клиентов SAP с учётной записью на портале безопасности.