10 lutego 2026 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, mające na celu usunięcie luk w zabezpieczeniach wielu produktów. Wprowadzono krytyczne aktualizacje dla następujących systemów:
- SAP CRM i SAP S/4HANA (Scripting Editor) – wersje S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800 i 801
- SAP NetWeaver Application Server ABAP i ABAP Platform – wersje KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 i 9.19
- SAP NetWeaver AS ABAP i platforma ABAP – wersje SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917 i SAP_BASIS 918
- SAP Supply Chain Management – wersje SCMAPO 713, 714, SCM 700, 701, 702 i 712
- Wtyczka SAP Solution Tools (ST-PI) – wersje ST-PI 2008_1_700, 2008_1_710, 740 i 758
- Platforma SAP BusinessObjects BI – wersje ENTERPRISE 430, 2025 i 2027
- SAP Commerce Cloud – wersje HY_COM 2205, COM_CLOUD 2211 i COM_CLOUD 2211-JDK21
- Platforma SAP BusinessObjects Business Intelligence – wersje ENTERPRISE 430, 2025 i 2027
| Notaka | Opis | Krytyczność | CVSS |
| 3697099 | [CVE-2026-0488] Luka umożliwiająca wstrzyknięcie kodu w SAP CRM i SAP S/4HANA (Scripting Editor) Komponenty: CRM-IC-FRW Kategoria: Błąd programu | Krytyczna | 9.9 |
| 3674774 | [CVE-2026-0509] Brak kontroli autoryzacji w SAP NetWeaver Application Server ABAP i ABAP Platform Komponenty: BC-MID-RFC Kategoria: Błąd programu | Krytyczna | 9.6 |
| 3697979 | [CVE-2026-0491] Luka w zabezpieczeniach umożliwiająca wstrzyknięcie kodu w SAP Landscape Transformation Komponenty: CA-DT-ANA Kategoria: Błąd programu | Krytyczna | 9.1 |
| 3697567 | [CVE-2026-23687] Opakowanie podpisu XML w SAP NetWeaver AS ABAP i platformie ABAP Komponenty: BC-SEC-WSS K ategoria: Błąd programu | Wysoka | 8.8 |
| 3703092 | [CVE-2026-23689] Odmowa usługi (DOS) w SAP Supply Chain Management Komponenty: SCM-APO-CA-COP Kategoria: Błąd programu | Wysoka | 7.7 |
| 3705882 | [CVE-2026-24322] Brak kontroli autoryzacji we wtyczce SAP Solution Tools (ST-PI) Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Wysoka | 7.7 |
| 3678282 | [CVE-2026-0485] Luka typu „odmowa usługi” (DOS) w platformie SAP BusinessObjects BI Komponenty: BI-BIP-SRV Kategoria: Błąd programu | Wysoka | 7.5 |
| 3654236 | [CVE-2026-0490] Odmowa usługi (DOS) w SAP BusinessObjects BI Platform Komponenty: BI-BIP-SRV Kategoria: Błąd programu | Wysoka | 7.5 |
| 3692405 | [CVE-2025-12383] Wyścig w SAP Commerce Cloud Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Wysoka | 7.4 |
| 3674246 | [CVE-2026-0508] Luka w zabezpieczeniach Open Redirect w SAP BusinessObjects Business Intelligence Platform Komponenty: BI-BIP-SEC Kategoria: Błąd programu | Wysoka | 7.3 |
| 3695912 | [CVE-2026-24324] Luka typu „odmowa usługi” (DOS) w SAP BusinessObjects Business Intelligence Platform (AdminTools) Komponenty: BI-BIP-SRV Kategoria: Błąd programu | Średnia | 6.5 |
| 3672622 | [CVE-2026-0484] Brak kontroli autoryzacji w SAP NetWeaver Application Server ABAP i SAP S/4HANA Komponenty: BC-DWB-CEX-CF Kategoria: Błąd programu | Średnia | 6.5 |
| 3688319 | [CVE-2026-24328] Luka w zabezpieczeniach Open Redirection w aplikacji Business Server Pages (TAF_APPLAUNCHER) Komponenty: SV-SMG-TWB-CBT Kategoria: Błąd programu | Średnia | 6.1 |
| 3678417 | [CVE-2026-0505] Wiele luk w zabezpieczeniach aplikacji BSP systemu zarządzania dokumentami SAP Komponenty: CA-DMS-OP Kategoria: Błąd programu | Średnia | 6.1 |
| 3503138 | [CVE-2025-0059] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI dla HTML) Komponenty: BC-FES-WGU Kategoria: Błąd programu | Średnia | 6.0 |
| 3689543 | [CVE-2026-23684] Luka w zabezpieczeniach SAP Commerce Cloud związana z sytuacją wyścigu Komponenty: CEC-SCC-COM-BC-OCC Kategoria: Błąd programu | Średnia | 5.9 |
| 3679346 | [CVE-2026-24319] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Business One (pliki zrzutu pamięci klienta B1) Komponenty: SBO-CRO-SEC Kategoria: Błąd programu | Średnia | 5.8 |
| 3687771 | [CVE-2026-24321] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Commerce Cloud Komponenty: CEC-SCC-COM-BC-OCC Kategoria: Błąd programu | Średnia | 5.3 |
| 3710111 | [CVE-2026-24312] Brak kontroli autoryzacji w SAP Business Workflow Komponenty: BC-BMT-WFM Kategoria: Błąd programu | Średnia | 5.2 |
| 3691645 | [CVE-2026-0486] Brak kontroli autoryzacji w systemach SAP opartych na ABAP Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Średnia | 5.0 |
| 3697256 | [CVE-2026-24325] Luka w zabezpieczeniach typu Cross Site Scripting (XSS) w SAP BusinessObjects Enterprise (Central Management Console) Komponenty: BI-BIP-CMC Kategoria: Błąd programu | Średnia | 4.8 |
| 3687285 | [CVE-2026-23685] Luka w zabezpieczeniach deserializacji w SAP NetWeaver (usługa JMS) Komponenty: BC-JAS-JMS Kategoria: Błąd programu | Średnia | 4.4 |
| 3122486 | [CVE-2026-23683] Brak kontroli autoryzacji w aplikacji SAP Fiori (uzgadnianie sald międzyfirmowych) Komponenty: FI-LOC-FI-RU Kategoria: Korekta funkcji prawnej | Średnia | 4.3 |
| 3215823 | [CVE-2026-23688] Brak kontroli autoryzacji w aplikacji SAP Fiori (Zarządzanie arkuszami wprowadzania usług – Lean Services) Komponenty: MM-PUR-SVC-SES Kategoria: Błąd programu | Średnia | 4.3 |
| 3678009 | [CVE-2026-24326] Brak kontroli autoryzacji w SAP S/4HANA Defense & Security (Disconnected Operations) Komponent: IS-DFS-BIT Kategoria: Błąd programu | Średnia | 4.3 |
| 3680390 | [CVE-2026-24327] Brak kontroli autoryzacji w SAP Strategic Enterprise Management (Balanced Scorecard w aplikacji BSP) Komponenty: FIN-SEM-CPM-BSC Kategoria: Błąd programu | Średnia | 4.3 |
| 3680416 | [CVE-2026-23681] Brak kontroli autoryzacji w module funkcji wtyczki SAP Support Tools Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Średnia | 4.3 |
| 3673213 | [CVE-2026-23686] Luka w zabezpieczeniach umożliwiająca wstrzykiwanie znaków CRLF w SAP NetWeaver Application Server Java Komponenty: BC-MID-CON-JCO Kategoria: Błąd programu | Niska | 3.4 |
| 3678313 | [CVE-2026-24320] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAP NetWeaver i platformie ABAP (serwer aplikacji ABAP) Komponenty: BC-CST-IC Kategoria: Błąd programu | Niska | 3.1 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny