SAP выпустила критические обновления для устранения уязвимостей с максимальным уровнем опасности

В рамках ежемесячного дня обновлений безопасности (Security Patch Day) 10 февраля 2026 года компания SAP выпустила исправления для целого ряда своих продуктов. Эксперты настоятельно рекомендуют клиентам как можно скорее установить патчи через Портал поддержки (Support Portal), чтобы защитить свою инфраструктуру SAP. Особое внимание привлекла уязвимость с рекордным уровнем опасности, позволяющая выполнять произвольный код в ключевых бизнес-системах.

Детали уязвимостей

Главным элементом риска в этом месяце стала уязвимость CVE-2026-0488. Она классифицируется как критическая и затрагивает SAP CRM и редактор скриптов в SAP S/4HANA. Данная проблема описана в примечании SAP 3697099. Её базовый балл по шкале CVSS составляет 9.9 из 10. Аутентифицированный злоумышленник, обладающий даже низкими привилегиями, может использовать эту уязвимость для внедрения и выполнения произвольного кода (code injection).

Инъекция кода в среде ERP или CRM может мгновенно превратиться в инцидент бизнес-масштаба. Причина в том, что системы SAP часто содержат критически важные финансовые данные, информацию о клиентах и цепочках поставок. Компания отмечает, что CVE-2026-0488 влияет на конфиденциальность, целостность и доступность данных. Следовательно, проблема не ограничивается потенциальной утечкой информации. Злоумышленник также может изменять данные или нарушать работу систем. Поскольку для атаки достаточно низких привилегий после входа в систему, специалистам по безопасности следует исходить из того, что скомпрометированных учетных данных может быть достаточно для эксплуатации этой уязвимости.

Наряду с CVE-2026-0488, SAP отметила еще одну критическую проблему - CVE-2026-0509. Она затрагивает SAP NetWeaver Application Server ABAP и ABAP Platform и описана в примечании SAP 3674774. Уязвимость получила оценку CVSS 9.6. Она представляет собой отсутствие проверки авторизации (missing authorization check). Это позволяет аутентифицированным пользователям с низкими привилегиями обходить контроль доступа.

Также в списке высокоприоритетных обновлений фигурирует уязвимость CVE-2026-23687. По данным аналитиков, она связана с недостатком типа XML Signature Wrapping (SAP Note 3697567) и имеет оценку CVSS 8.8. Помимо этого, SAP рекомендует обратить внимание на ряд других высокоуровневых проблем. Среди них уязвимости, приводящие к отказу в обслуживании (DoS) в SAP Supply Chain Management и SAP BusinessObjects BI Platform, проблема открытого перенаправления (open redirect) в BusinessObjects и состояние гонки (race condition) в SAP Commerce Cloud.

Для эффективного противодействия угрозам специалистам рекомендуется начать с инвентаризации. Необходимо идентифицировать, где в инфраструктуре развернуты такие компоненты, как SAP CRM, редактор скриптов SAP S/4HANA и NetWeaver AS ABAP. Затем следует сопоставить их с соответствующими примечаниями SAP, выпущенными в феврале 2026 года. Два критических обновления (CVE-2026-0488 и CVE-2026-0509) должны быть установлены в первую очередь. SAP классифицирует их как критические и подчеркивает их высокий потенциал воздействия.

После применения исправлений крайне важным этапом является проверка привилегированных путей доступа. Кроме того, необходимо настроить мониторинг на предмет необычной активности, связанной со скриптами, или сбоев авторизации. Подобные события могут указывать на попытки эксплуатации уязвимостей. Своевременная установка патчей и последующий контроль остаются ключевыми элементами стратегии защиты сложной ландшафта SAP от современных киберугроз. Регулярное обновление систем позволяет значительно снизить риски, связанные с эксплуатацией известных уязвимостей злоумышленниками, включая группы продвинутых постоянных угроз (APT).

Детали уязвимостей

Ссылки