14 kwietnia 2026 r. firma SAP opublikowała biuletyny bezpieczeństwa dotyczące luk w wielu produktach. Aktualizacje objęły następujące rozwiązania:
- SAP Business Planning and Consolidation oraz SAP Business Warehouse – wersje HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758 i 816
- SAP ERP oraz SAP S/4 HANA (Private Cloud i On-Premise) – wersje SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605 i 606
- SAP BusinessObjects Business Intelligence Platform – wersje ENTERPRISE 430, 2025 i 2027
- SAP Human Capital Management dla SAP S/4HANA – wersje S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604 i 608
- SAP Business Analytics oraz SAP Content Management – wersje S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604 i 608
- SAP S/4HANA OData Service (Manage Reference Equipment) – wersja S4CORE 109
- SAP S/4HANA Backend OData Service (Manage Reference Structures) – wersja S4CORE 109
- SAP S/4HANA Frontend OData Service (Manage Reference Structures) – wersja UIS4H 109
- SAP Supplier Relationship Management (SICF Handler w SRM Catalog) – wersje SRM_SERVER 702, 713 i 714
- SAP NetWeaver Application Server Java (Web Dynpro Java) – wersja WD-RUNTIME 7.50
- SAP NetWeaver Application Server ABAP – wersje SAP_BASIS 700, 701, 702, 731, 740, 750, 752, 753, 754, 755, 756, 757, 758 i 816
- SAP HANA Cockpit oraz HANA Database Explorer – wersja SAP_HANA_COCKPIT 2.0
- SAP S/4HANA (Private Cloud i On-Premise) – wersje S4CORE 105, 106, 107, 108, 109, FI-CA 606, 616, 617 i 618
- Material Master Application – wersje S4CORE 102, 103, 104, 105, 106, 107, 108, 109, SCM_BASIS 700, 701, 702, 712, 713 i 714
- SAP S/4HANA OData Service (Manage Technical Object Structures) – wersja S4CORE 109
- SAP S4CORE (Manage Journal Entries) – wersje S4CORE 104, 105, 106, 107 i 108
- SAP BusinessObjects Business Intelligence Platform – wersje ENTERPRISE 430, 2025 i 2027
- SAP NetWeaver Application Server ABAP – wersje SAP_UI 758 i 816
- SAP Landscape Transformation – wersje DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107, 108 i 109
| Numer | Opis | Krytyczność | CVSS |
| 3719353 | [CVE-2026-27681] Luka typu SQL Injection w SAP Business Planning and Consolidation oraz SAP Business Warehouse. | Krytyczna | 9.9 |
| 3731908 | [CVE-2026-34256] Brak weryfikacji uprawnień (Missing Authorization check) w SAP ERP oraz SAP S/4 HANA (Private Cloud i On-Premise). | Wysoka | 7.1 |
| 3696239 | [CVE-2025-64775] Podatność na odmowę usługi (Denial of Service) w SAP BusinessObjects Business Intelligence Platform. | Średnia | 6.5 |
| 3680767 | [CVE-2026-34264] Podatność na ujawnienie informacji (Information Disclosure) w SAP Human Capital Management dla SAP S/4HANA. | Średnia | 6.5 |
| 3705094 | [CVE-2026-34261] Brak weryfikacji uprawnień w SAP Business Analytics oraz SAP Content Management. | Średnia | 6.5 |
| 3715097 | [CVE-2026-27677] Brak weryfikacji uprawnień w usłudze SAP S/4HANA OData Service (Manage Reference Equipment). | Średnia | 6.5 |
| 3715177 | [CVE-2026-27678] Brak weryfikacji uprawnień w usłudze SAP S/4HANA Backend OData Service (Manage Reference Structures). | Średnia | 6.5 |
| 3716767 | [CVE-2026-27679] Brak weryfikacji uprawnień w usłudze SAP S/4HANA Frontend OData Service (Manage Reference Structures). | Średnia | 6.5 |
| 3645228 | [CVE-2026-0512] Luka typu Cross-Site Scripting (XSS) w SAP Supplier Relationship Management (SICF Handler w SRM Catalog). | Średnia | 6.1 |
| 3719397 | [CVE-2026-27674] Luka typu Code Injection w SAP NetWeaver Application Server Java (Web Dynpro Java). | Średnia | 6.1 |
| 3692004 | [CVE-2026-34257] Luka typu Open Redirect w SAP NetWeaver Application Server ABAP. | Średnia | 6.1 |
| 3730639 | [CVE-2026-34262] Podatność na ujawnienie informacji w SAP HANA Cockpit oraz HANA Database Explorer. | Średnia | 5.0 |
| 3703813 | [CVE-2026-27673] Brak weryfikacji uprawnień w SAP S/4HANA (Private Cloud i On-Premise). | Średnia | 4.9 |
| 3703276 | [CVE-2026-27672] Brak weryfikacji uprawnień w aplikacji Material Master. | Średnia | 4.3 |
| 3711682 | [CVE-2026-27676] Brak weryfikacji uprawnień w usłudze SAP S/4HANA OData Service (Manage Technical Object Structures). | Średnia | 4.3 |
| 3530544 | Aktualizacja do biuletynu bezpieczeństwa wydanego w listopadzie 2025: [CVE-2025-42899] Brak weryfikacji uprawnień w SAP S4CORE (Manage Journal Entries). | Średnia | 4.3 |
| 3702191 | [CVE-2026-24318] Podatność związana z niebezpiecznym zarządzaniem sesją (Insecure Session Management) w SAP BusinessObjects Business Intelligence Platform. | Średnia | 4.2 |
| 3698216 | [CVE-2026-27683] Luka typu CSS Injection w SAP NetWeaver Application Server ABAP. | Średnia | 4.1 |
| 3665042 | [CVE-2026-27680] Luka typu CSS Injection w SAP NetWeaver Application Server ABAP. | Niska | 3.1 |
| 3723097 | [CVE-2026-27675] Luka typu Code Injection w SAP Landscape Transformation. | Niska | 2.0 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny