Вторая среда апреля 2026 года стала для системных администраторов и специалистов по информационной безопасности, работающих с продуктами SAP, знаковым днём. Компания SAP выпустила ежемесячные обновления в рамках своего "Дня исправлений для системы безопасности" (Security Patch Day), закрыв 19 новых уязвимостей и обновив одну из ранее выпущенных записок. Это событие имеет первостепенное значение для тысяч предприятий по всему миру, чья операционная и аналитическая деятельность завязана на таких системах, как SAP ERP, S/4HANA и Business Warehouse. Игнорирование данных обновлений может привести к полному компрометированию конфиденциальности, целостности и доступности критически важных бизнес-приложений.
Детали уязвимостей
Согласно официальному порталу поддержки SAP, среди исправленных проблем фигурируют уязвимости высочайшего уровня опасности, включая критические инъекции SQL, уязвимости, приводящие к отказу в обслуживании (Denial of Service, DoS), и внедрение кода. Особую тревогу вызывает тот факт, что наиболее серьёзная из обнаруженных проблем затрагивает самое сердце систем бизнес-аналитики и планирования. SAP настоятельно рекомендует всем администраторам немедленно изучить выпущенные обновления и применить необходимые исправления для защиты корпоративной инфраструктуры.
Центральным элементом апрельского выпуска исправлений является критическая уязвимость, получившая идентификатор CVE-2026-27681. Она представляет собой классическую инъекцию SQL в продуктах SAP Business Planning and Consolidation и SAP Business Warehouse. Её опасность подчёркивается практически максимальным баллом 9.9 по шкале CVSS (Common Vulnerability Scoring System - система оценки критичности уязвимостей). В случае успешной эксплуатации злоумышленник может выполнять произвольные запросы к базе данных. На практике это означает возможность кражи, модификации или полного уничтожения критически важных бизнес-данных: финансовых отчётов, планов консолидации, аналитики продаж. Учитывая центральную роль этих систем в принятии стратегических решений, последствия такой атаки могут быть катастрофическими для бизнеса.
Второй по значимости проблемой, отмеченной как высокорисковая, стала уязвимость CVE-2026-34256, связанная с отсутствием проверки полномочий в SAP ERP и SAP S/4 HANA. Она имеет оценку CVSS 7.1 и затрагивает как частные облачные, так и локальные (On-Premise) развёртывания. Суть уязвимости заключается в том, что неавторизованный пользователь, обладающий доступом к системе, но с ограниченными правами, может выполнять действия, которые должны быть ему запрещены. Это создаёт риски внутренних инсайдерских атак или эскалации привилегий, если злоумышленник получит доступ к учётной записи рядового сотрудника. В условиях, когда ERP-система управляет закупками, кадрами, финансами и логистикой, подобный пробел в безопасности открывает путь к масштабным манипуляциям.
Помимо критических и высокорисковых проблем, SAP устранила целый ряд уязвимостей средней степени опасности, затрагивающих широкий спектр продуктов. Анализ данных позволяет выделить несколько ключевых направлений. Во-первых, это угрозы доступности: уязвимость отказа в обслуживании (CVE-2025-64775) в платформе бизнес-аналитики SAP BusinessObjects Business Intelligence Platform с оценкой CVSS 6.5. Её эксплуатация может привести к остановке критически важных процессов отчётности и аналитики, парализовав работу целых департаментов. Во-вторых, это риски, связанные с внедрением кода, такие как CVE-2026-27674 в сервере приложений SAP NetWeaver Application Server Java. Хотя её оценка составляет 6.1, она потенциально позволяет выполнить произвольный код в контексте приложения.
Отдельного внимания заслуживает группа из нескольких уязвимостей, связанных с недостатками контроля доступа (Missing Authorization Check) в различных OData-сервисах SAP S/4HANA. Несмотря на средние оценки CVSS (в основном 4.3-6.5), их совокупность указывает на системную проблему в архитектуре авторизации для микросервисной модели взаимодействия. Подобные "дыры" в логике прав могут быть использованы для тонкой, целенаправленной компрометации данных, например, манипуляций со структурой оборудования или технических объектов, что особенно опасно для промышленных предприятий.
Также были закрыты уязвимости межсайтового скриптинга (XSS, CVE-2026-0512) в системе управления взаимоотношениями с поставщиками (SAP Supplier Relationship Management), проблемы раскрытия информации в SAP Human Capital Management и панели управления SAP HANA Cockpit, а также уязвимость открытого перенаправления (Open Redirect) в сервере приложений ABAP.
Важно отметить, что SAP продолжает актуализировать ранее выпущенные исправления. В текущем выпуске было обновлено исправление за ноябрь 2025 года (CVE-2025-42899), касающееся отсутствия проверки авторизации в ядре SAP S4CORE для управления проводками журналов. Это подчёркивает необходимость для администраторов не просто применять свежие патчи, но и отслеживать обновления к уже установленным.
В свете вышеизложенного, рекомендации SAP звучат предельно чётко. Специалистам по безопасности и администраторам систем на базе продуктов немецкого вендора следует незамедлительно обратиться на портал поддержки SAP и изучить детальные заметки по безопасности. Абсолютным приоритетом должно стать развёртывание исправления Note 3719353, закрывающего критическую уязвимость CVE-2026-27681 с оценкой 9.9. Кроме того, необходимо оценить влияние всех исправлений, связанных с проверками авторизации, особенно в средах SAP ERP и S/4 HANA, чтобы предотвратить несанкционированный доступ и манипуляции с данными. Своевременное обновление остаётся краеугольным камнем защиты корпоративной инфраструктуры от постоянно эволюционирующих киберугроз, а апрельский выпуск исправлений от SAP - наглядное тому подтверждение, требующее незамедлительных практических действий.
