Η SAP κυκλοφόρησε 15 νέες σημειώσεις ασφαλείας την Ημέρα ενημέρωσης κώδικα του Μαρτίου 2026, αντιμετωπίζοντας μια σειρά από ευπάθειες σε όλο το χαρτοφυλάκιο προϊόντων της, συμπεριλαμβανομένων δύο ελαττωμάτων με κρίσιμη βαθμολογία που θα μπορούσαν να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα και τον πλήρη συμβιβασμό του συστήματος.
Η SAP προτρέπει σθεναρά όλους τους πελάτες να επισκεφτούν την Πύλη Υποστήριξής της και να δώσουν προτεραιότητα στην εφαρμογή ενημέρωσης κώδικα για να προστατεύσουν τα τοπία SAP τους.
Το πιο σοβαρό ελάττωμα που αντιμετωπίστηκε αυτόν τον μήνα είναι το CVE-2019-17571, το οποίο έχει βαθμολογία CVSS 9,8 και επηρεάζει την εφαρμογή SAP Quotation Management Insurance (FS-QUO 800).
Η ευπάθεια προέρχεται από ένα ξεπερασμένο στοιχείο Apache Log4j SocketServer που είναι ενσωματωμένο στο προϊόν, μια κλάση που δέχεται και αποσυνέχεια σειριακά συμβάντα καταγραφής χωρίς έλεγχο ταυτότητας, επιτρέποντας σε έναν μη ελεγμένο απομακρυσμένο εισβολέα να εκτελεί αυθαίρετο κώδικα στο κεντρικό σύστημα.
Παρά το ότι το αναγνωριστικό CVE χρονολογείται από το 2019, αυτό σηματοδοτεί την πρώτη ενημέρωση κώδικα που εκδόθηκε ειδικά για το FS-QUO 800, υπογραμμίζοντας πώς τα στοιχεία παλαιού τύπου στο εταιρικό λογισμικό μπορούν να παραμείνουν εκτεθειμένα για εκτεταμένες περιόδους.
Το δεύτερο κρίσιμο ζήτημα, το CVE-2026-27685 (CVSS 9.1), επηρεάζει το SAP NetWeaver Enterprise Portal Administration που εκτελεί το EP-RUNTIME 7.50.
Αυτό το μη ασφαλές ελάττωμα deserialization επιτρέπει σε έναν προνομιούχο χρήστη να ανεβάζει κακόβουλο ή μη αξιόπιστο περιεχόμενο που, όταν αποδεσμεύεται από τον διακομιστή, έχει μεγάλο αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα του συστήματος κεντρικού υπολογιστή, παρέχοντας ουσιαστικά μια διαδρομή για τον πλήρη έλεγχο του συστήματος. Το SAP Security Note 3714585 αντιμετωπίζει αυτό το ζήτημα.
Ευπάθεια υψηλής και μεσαίας σοβαρότητας
Μια ευπάθεια άρνησης υπηρεσίας υψηλής σοβαρότητας, το CVE-2026-27689 (CVSS 7.7), επιδιορθώθηκε στο SAP Supply Chain Management, επηρεάζοντας πολλές εκδόσεις SCMAPO, S4CORE, S4COREOP και SCM. Ένας επαληθευμένος εισβολέας με χαμηλά προνόμια μπορεί να εκμεταλλευτεί αυτό το ελάττωμα μέσω του δικτύου για να διακόψει τη διαθεσιμότητα στα επηρεαζόμενα στοιχεία διαχείρισης της αλυσίδας εφοδιασμού χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Αρκετά ελαττώματα μέσης σοβαρότητας ολοκληρώνουν την παρτίδα ενημέρωσης κώδικα, που καλύπτουν τις πιο ευρέως αναπτυγμένες πλατφόρμες της SAP:
- CVE-2026-24316 (CVSS 6.4) — Μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) στον διακομιστή εφαρμογών SAP NetWeaver για ABAP στις εκδόσεις SAP_BASIS 740 έως 918, επιτρέποντας δυνητικά στους εισβολείς να υποβάλλουν μη εξουσιοδοτημένα αιτήματα από την πλευρά του διακομιστή σε εσωτερικούς πόρους.
- CVE-2026-24309 (CVSS 6.4) — Έλεγχος εξουσιοδότησης που λείπει στο SAP NetWeaver AS για το ABAP που επηρεάζει τις εκδόσεις SAP_BASIS 700 έως 816, το οποίο θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη τροποποίηση και διακοπή δεδομένων.
- CVE-2026-27684 (CVSS 6.4) — Ένα ελάττωμα SQL Injection στο στοιχείο Feedback Notification του SAP NetWeaver στις εκδόσεις SAP_ABA 700 έως 816, που επιτρέπει τη μερική εξαγωγή δεδομένων και τη διακοπή της υπηρεσίας.
- CVE-2026-0489 (CVSS 6.1) — Μια ευπάθεια βασισμένη σε DOM για δέσμες ενεργειών μεταξύ ιστότοπων (XSS) στις εκδόσεις SAP Business One (Job Service) B1_ON_HANA 10.0 και SAP-M-BO 10.0, που απαιτεί αλληλεπίδραση με τον χρήστη για να ενεργοποιηθεί.
Πρόσθετες ενημερώσεις κώδικα μεσαίας σοβαρότητας καλύπτουν ελέγχους εξουσιοδότησης που λείπουν σε SAP Business Warehouse (CVE-2026-27686), SAP S/4HANA HCM Portugal (CVE-2026-27687), SAP NetWeaver AS για ABAP (CVE-2026-27688-Tools) (CVE-2026-24313).
Οι επιδιορθώσεις χαμηλότερης σοβαρότητας περιλαμβάνουν μη ασφαλή προστασία αποθήκευσης στο SAP Customer Checkout 2.0 (CVE-2026-24311), παραβίαση DLL στο SAP GUI για Windows με ενεργό GuiXT (CVE-2026-24317), μια κατάσταση άρνησης υπηρεσίας που συνδέεται με μια παρωχημένη έκδοση SAP JavaScument’sWeado. στοιχείο (CVE-2025-9230, CVE-2025-9232) και ένα πρόβλημα εξουσιοδότησης που λείπει χαμηλής σοβαρότητας στο SAP NetWeaver AS για ABAP (CVE-2026-24310).
Οι διαχειριστές SAP θα πρέπει να χειριστούν τις δύο κρίσιμες σημειώσεις 3698553 και 3714585 ως άμεσες προτεραιότητες δεδομένου του κινδύνου εκτέλεσης απομακρυσμένου κώδικα που αντιπροσωπεύουν. Οι οργανισμοί που εκτελούν το SAP NetWeaver, το SAP Supply Chain Management ή το SAP Business One θα πρέπει να ελέγχουν όλα τα επηρεαζόμενα εύρη εκδόσεων και να εφαρμόζουν τις αντίστοιχες σημειώσεις ασφαλείας μέσω της πύλης υποστήριξης SAP χωρίς καθυστέρηση.
Η Ημέρα ενημέρωσης κώδικα SAP πραγματοποιείται τη δεύτερη Τρίτη κάθε μήνα και η διατήρηση ενός δομημένου κύκλου διαχείρισης ενημερώσεων κώδικα που να ευθυγραμμίζεται με αυτό το χρονοδιάγραμμα παραμένει θεμελιώδης πρακτική για την ασφάλεια SAP της επιχείρησης.
