SAP heeft updates uitgerold om meerdere kwetsbaarheden aan te pakken als onderdeel van de beveiligingsupdates van juli 2026, waaronder een kritieke fout in SAP NetWeaver Application Server ABAP.
De kwetsbaarheid in kwestie is CVE-2026-44747 (CVSS-score: 9,9), een schrijffout buiten het bereik waarmee een geverifieerde aanvaller logische fouten in het geheugenbeheer kan gebruiken om geheugenbeschadiging te veroorzaken die kan leiden tot ongeoorloofde gegevenstoegang, wijziging of onbeschikbaarheid van het systeem.
“Als tijdelijke oplossing wordt in de nota voorgesteld om alle ICF-knooppunten met een specifieke eigenschap in transactie-SICF uit te schakelen”, aldus SAP-beveiligingsbedrijf Onapsis. “Aangezien de oplossing openingstransacties in SAP GUI voor HTML uitschakelt, is dit niet voor alle klanten een optie en wordt het sterk aanbevolen om de patchende ABAP Kernel-versie te installeren.”
Ook door SAP aangepakt zijn twee andere kritieke kwetsbaarheden:
- CVE-2026-27690 (CVSS-score: 9,1) – Een fout bij het smokkelen van HTTP-verzoeken/-antwoorden in SAP Approuter-implementaties in niet-Cloud Foundry-omgevingen, waardoor een niet-geverifieerde aanvaller een speciaal vervaardigd HTTP-verzoek kan verzenden dat leidt tot desynchronisatie van verzoek-antwoorden en resulteert in het blootleggen van gebruikersreacties en het triggeren van Denial-of-Service (DoS)-aanvallen.
- CVE-2026-44761 (CVSS-score: 9,1) – Een fout in het gebruik van standaardreferenties in SAP Commerce Cloud waardoor een voorbeeld van een OAuth 2.0-client kon worden bewaard met openbaar gedocumenteerde voorbeeldreferenties afkomstig van een voorbeeldconfiguratie uit de SAP Help Portal-documentatie.
“Als ze ongewijzigd blijven, kan een niet-geverifieerde aanvaller deze bekende inloggegevens gebruiken om een geldig toegangstoken te verkrijgen en bepaalde API’s aanroepen om gegevens te lezen en te wijzigen”, aldus een beschrijving van CVE-2026-44761 in de NIST National Vulnerability Database (NVD). “Succesvolle exploitatie resulteert in een grote impact op de vertrouwelijkheid en integriteit, zonder impact op de beschikbaarheid.”
Onapsis merkte op dat de kwetsbaarheid voortkomt uit voorbeeldconfiguratiescripts die eerder in de SAP Help Portal werden aangeboden. Deze scripts, oorspronkelijk bedoeld voor ontwikkeling en testen, configureren OAuth 2.0-clients met hardgecodeerde, bekende inloggegevens.
“Oudere versies van de documentatie waarschuwden klanten niet expliciet tegen het importeren van deze standaardinstellingen in productie”, aldus het rapport. “Een niet-geverifieerde aanvaller kan deze openbaar beschikbare standaardreferenties gebruiken om een geldig toegangstoken te verkrijgen. Met dit token kunnen ze specifieke API’s aanroepen om systeemgegevens te lezen en te wijzigen. Exploitatie vereist dat de klant het voorbeeldscript uitvoert en de resulterende OAuth 2.0-client in productie houdt zonder het hardgecodeerde geheim te vervangen.”
Het is vermeldenswaard dat klanten die de voorbeeldclient hebben verwijderd of het geheim hebben vervangen door een sterke, unieke waarde, niet door de bug worden getroffen. Klanten wordt aangeraden hun productieomgevingen te controleren op de aanwezigheid van de getroffen voorbeeld-OAuth 2.0-client. Als de client bestaat, moet deze worden verwijderd.
Hoewel er geen bewijs is dat de gebreken in het wild worden uitgebuit, wordt geadviseerd om de nodige updates toe te passen voor optimale bescherming.