SAP выпустила июльский пакет исправлений с критическими уязвимостями в NetWeaver, AppRouter и Commerce Cloud

SAP

SAP опубликовала 16 новых бюллетеней безопасности и одно предупреждение на GitHub, а также обновила три ранее выпущенных уведомления. Наиболее серьёзные проблемы затрагивают ядро NetWeaver Application Server ABAP, компонент маршрутизации AppRouter и платформу Commerce Cloud - все они получили оценку 9,1 и выше по шкале CVSS. Администраторам необходимо в приоритетном порядке оценить подверженность систем и установить предложенные исправления.

Детали уязвимостей

Уязвимость с идентификатором CVE-2026-44747 имеет максимальную среди июльских объявлений оценку - 9,9 балла. Она связана с повреждением памяти в SAP NetWeaver Application Server ABAP и затрагивает широкий спектр версий ядра: от KRNL64NUC 7.22 до KERNEL 9.20. Злоумышленник с минимальными привилегиями потенциально может удалённо эксплуатировать эту брешь, что приведёт к полной компрометации конфиденциальности, целостности и доступности данных. Поскольку NetWeaver AS ABAP является фундаментом для многих бизнес-приложений SAP, эксплуатация этой уязвимости способна затронуть критически важные корпоративные процессы.

Второй по степени риска является ошибка CVE-2026-27690, получившая 9,1 балла. Она затрагивает библиотеку SAP Approuter версий ниже 20.10.0 и относится к классу HTTP-контрабанды (HTTP request smuggling). Проблема позволяет злоумышленнику вклиниваться в обмен данными между фронтальным прокси и внутренними приложениями. При успешной атаке можно обойти механизмы безопасности, перехватить запросы или направить их не по назначению. Примечательно, что эксплуатация не требует аутентификации, что делает уязвимость особенно опасной для систем, выходящих в интернет.

Ещё одна критическая проблема с той же оценкой 9,1 - CVE-2026-44761, обнаруженная в SAP Commerce Cloud для версий HY_COM 2205, COM_CLOUD 2211 и 2211-JDK21. Причина - использование небезопасных учётных данных по умолчанию. В конфигурациях, где такие образцы не были удалены или изменены, злоумышленник может получить прямой доступ к системе. SAP рекомендует проверить присутствие тестовых учётных записей и отключить или заменить их.

В июле также было обновлено июньское предупреждение о CVE-2026-40128 - критической уязвимости обхода каталогов в контейнере веб-приложений SAP NetWeaver AS Java. Оценка бреши - 9,0, затрагивается версия ENGINEAPI 7.50. Обход каталогов позволяет читать файлы за пределами корневой директории, что может раскрыть конфигурационные данные или исходный код.

Среди уязвимостей высокого уровня опасности выделяется CVE-2026-0487 (8,4 балла) - внедрение библиотеки DLL в SAProuter на платформе Microsoft Windows. Уязвимость делает возможной подмену легитимной динамической библиотеки вредоносной, что открывает путь к выполнению произвольного кода. Затрагиваются те же версии ядра, что и в первом случае, а также компонент SAP_ROUTER начиная с 7.53.

Другие заметные уязвимости включают несколько перекрёстных сценариев (XSS) в мастере конфигурации Java (8,2 балла), открытое перенаправление в AppRouter (8,1 балла), а также целую группу проблем в Apache Tomcat, используемом в Commerce Cloud (8,1 балла каждая). Отдельно стоит отметить уязвимость удалённого выполнения кода CVE-2026-58233 в инструменте присоединения к системе управления транспортом SAP ctsattach (7,6 балла).

Уязвимости среднего и низкого уровня опасности охватывают SQL-инъекцию в модуле управления проектами S/4HANA, несколько случаев отсутствия проверки авторизации, обход списка разрешений и раскрытие информации. Общее количество затрагиваемых продуктов и компонентов подтверждает системный характер июльского обновления.

В официальном сообщении SAP подчеркнула, что организации должны просмотреть соответствующие бюллетени, определить затронутые версии и в приоритетном порядке применить исправления. Особое внимание следует уделить развёртываниям AppRouter, Commerce Cloud, системам NetWeaver и экземплярам SAProuter, работающим под управлением Windows. Параллельно рекомендуется удалить тестовые учётные записи, сменить скомпрометированные пароли, проверить конфигурации обратных прокси и проанализировать журналы SAP на предмет подозрительных запросов и несанкционированной активности.

Ситуация наглядно показывает, что SAP продолжает сталкиваться с широким спектром угроз - от классических повреждений памяти до ошибок конфигурации и сторонних компонентов. Для корпоративных клиентов регулярное применение патчей и аудит используемых образцов безопасной настройки остаются единственным надёжным способом снижения риска.

Ссылки

Комментарии: 0