Корпорация SAP выпустила очередной пакет обновлений безопасности. Он затронул более полутора десятков продуктов, включая ядро NetWeaver, платформу Commerce Cloud и систему S/4HANA. Четыре уязвимости получили критический статус по шкале CVSS (универсальная система оценки уязвимостей) с баллами от 9,0 до 9,9. Ещё несколько проблем признаны опасными или средними по степени риска. Специалистам по информационной безопасности настоятельно рекомендуется как можно скорее установить исправления, чтобы не допустить компрометации корпоративных систем.
Детали уязвимостей
Прежде всего стоит обратить внимание на уязвимость, получившую идентификатор CVE-2026-44748. Она затрагивает механизм аутентификации SAML (протокол единого входа) в SAP NetWeaver AS ABAP и ABAP Platform. Оценка CVSS достигает 9,9 балла. Проблема связана с так называемой подменой подписи XML-документа. Злоумышленник может обойти проверку подлинности и получить несанкционированный доступ к системе. Это особенно опасно для крупных предприятий, использующих единую точку входа для всех сотрудников.
Не менее серьезна уязвимость CVE-2026-27671. Она вызывает повреждение памяти в сервере приложений ABAP (язык программирования SAP) того же NetWeaver. Её CVSS-рейтинг составляет 9,8 балла. Атака может привести к полному нарушению работы ядра, отказу в обслуживании или выполнению произвольного кода. По сути, злоумышленник получает возможность удалённо управлять сервером. Уязвимыми оказались многие версии ядра, начиная с 7.22 и заканчивая 91.9.
Третья критическая проблема (CVE-2026-22732, CVSS 9,1) затрагивает SAP Commerce Cloud и SAP Data Hub. Она связана с компонентами Spring Security (фреймворк для защиты приложений на языке Java). Ошибка позволяет нарушить политику безопасности. В результате атакующий может получить доступ к данным других пользователей или изменить настройки. Для версий HY_COM 2205, COM_CLOUD 2211 и DHUB_CLOUD 2211 требуется немедленное обновление.
Четвёртая уязвимость (CVE-2026-40128) получила 9 баллов по CVSS. Это обход пути к файлам в веб-контейнере SAP NetWeaver Application Server Java. Злоумышленник может читать произвольные файлы на сервере или даже загружать вредоносные сценарии. Проблема затрагивает компонент ENGINEAPI версии 7.50.
Среди уязвимостей с высоким рейтингом выделяется CVE-2026-29145. Она связана с использованием в SAP Commerce Cloud библиотек Apache Tomcat (веб-сервер и контейнер сервлетов). Внутри себя она содержит ещё две уязвимости: CVE-2025-66614 и CVE-2026-24734. В результате возможна удалённая компрометация системы. Также отмечена проблема с отсутствием проверки авторизации (CVE-2026-44751) в сервере приложений ABAP - CVSS 7,1.
Умеренный уровень опасности присвоен нескольким уязвимостям. Например, в S/4HANA обнаружена SQLi-инъекция (внедрение вредоносных SQL-запросов) с CVSS 6,5 (CVE-2026-44744). В NetWeaver AS Java найдена отражённая XSS-уязвимость (межсайтовый скриптинг) с рейтингом 6,1 (CVE-2026-44746). В инструменте мониторинга Wily Introscope Enterprise Manager также присутствует XSS (CVE-2026-44757, 4,7 балла). Кроме того, обнаружены проблемы с проверкой прав доступа в приложении MDG (система управления мастер-данными) и репликации данных ODP (CVE-2026-44754 и CVE-2026-44750). В Business Objects Business Intelligence Platform выявлено спуфинг электронной почты (подделка отправителя) с CVSS 4,3 (CVE-2026-44755). Path Traversal (обход путей) в Fiori (пользовательский интерфейс SAP) оценён в 4,2 балла (CVE-2026-24315). Наконец, неверная конфигурация безопасности в Business Objects (CVE-2026-44743) получила 3,7 балла, а потенциальная уязвимость в Apache Log4j (библиотека логирования) внутри NetWeaver AS Java (CVE-2025-68161) - всего 3,7 балла, но она напоминает о прошлых инцидентах с этой библиотекой в других продуктах.
Последствия каждой из этих проблем могут быть весьма серьёзными. Успешная атака способна привести к утечке конфиденциальных данных, нарушению работы ERP-систем, остановке производства и значительным финансовым потерям. Особенно уязвимы компании, использующие SAP для управления ключевыми бизнес-процессами - финансами, цепочками поставок, работой с клиентами. Кроме того, инцидент может подорвать репутацию организации и доверие партнёров.
Специалистам по ИБ следует в первую очередь обратиться к официальному бюллетеню безопасности SAP, опубликованному 9 июня. Все исправления уже доступны на портале поддержки вендора. Прежде всего нужно установить заплатки для критических уязвимостей - они закрывают самые опасные бреши. Затем стоит перейти к проблемам с высоким и средним рейтингом. Важно помнить, что многие продукты SAP имеют долгий срок эксплуатации, и устаревшие версии остаются без защиты. Поэтому регулярный мониторинг бюллетеней и своевременное обновление - основа безопасности корпоративного ландшафта.
В целом, июньский день исправлений SAP вновь продемонстрировал, насколько сложной и многослойной является защита современных ERP-систем. Даже одна пропущенная уязвимость может открыть путь для серьёзной атаки. Компаниям стоит пересмотреть свои процедуры управления обновлениями и уделять особое внимание критическим компонентам - NetWeaver, Commerce Cloud и S/4HANA. Только так можно минимизировать риски в условиях постоянно растущего числа киберугроз.
Ссылки
