SAP opublikował w tym miesiącu istotny zestaw aktualizacji bezpieczeństwa, które dotyczą wielu produktów SAP. Łącznie wydano 17 nowych not bezpieczeństwa oraz 2 aktualizacje istniejących (13 stycznia 2026). Te poprawki są kluczowe dla organizacji korzystających z systemów SAP – zarówno w środowiskach on-premise, chmurowych, jak i hybrydowych – ponieważ eliminują luki, które mogą prowadzić do poważnych naruszeń danych lub kompromitacji systemów.
Najważniejsze informacje
Najpilniejsze poprawki to tzw. HotNews, czyli noty o najwyższym priorytecie ze względu na potencjalne skutki. Wśród nich:
- SQL Injection w SAP S/4HANA (FI-GL-GL-G) z oceną CVSS 9.9. Luka umożliwia manipulację zapytaniami do bazy danych, co może skutkować nieautoryzowanym dostępem do danych lub ich uszkodzeniem.
- Remote Code Execution w Introscope Enterprise Manager (CVSS 9.6), gdzie atakujący może wykorzystać złośliwy plik JNLP do wykonania dowolnego kodu na serwerze.
- Code Injection w SAP Landscape Transformation oraz SAP S/4HANA (on-premise) (CVSS 9.1), co pozwala na wstrzyknięcie i uruchomienie szkodliwego kodu w krytycznych procesach biznesowych.
- Dodatkowe HotNews dotyczą luk w SAP Commerce Cloud (Apache Tomcat) oraz SAP jConnect SDK, które mogą prowadzić do ataków typu deserializacja.
Krytyczne luki
Kilka innych not oceniono jako krytyczne, m.in.:
- Eskalacja uprawnień w SAP HANA (CVSS 8.8), umożliwiająca przejęcie kontroli nad bazą danych.
- OS Command Injection w SAP ABAP i NetWeaver RFCSDK (CVSS 8.4), pozwalająca na wykonywanie poleceń systemowych.
- Wiele luk w aplikacjach Fiori, szczególnie w module Intercompany Balance Reconciliation, co może zagrozić integralności danych finansowych.
| Note | Description | Krytyczność | CVSS |
| 3687749 | [CVE-2026-0501] Luka SQL Injection w SAP S/4HANA (Private Cloud i On-Premise) – moduł Finansowy (Księga Główna) Komponenty: FI-GL-GL-G Kategoria: Błąd programu | Krytyczna | 9.9 |
| 3683579 | Wiele luk w Apache Tomcat w SAP Commerce Cloud Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Krytyczna | 9.6 |
| 3668679 | [CVE-2026-0500] Zdalne wykonanie kodu w SAP Wily Introscope Enterprise Manager (WorkStation) Komponenty: SV-SMG-DIA-WLY Kategoria: Błąd programu | Krytyczna | 9.6 |
| 3685286 | [CVE-2025-42928] Luka deserializacji w SAP jConnect – SDK dla ASE Komponenty: BC-SYB-SDK Kategoria: Błąd programu | Krytyczna | 9.1 |
| 3694242 | [CVE-2026-0498] Luka Code Injection w SAP S/4HANA (Private Cloud i On-Premise) Komponenty: CA-DT-ANA Kategoria: Błąd programu | Krytyczna | 9.1 |
| 3697979 | [CVE-2026-0491] Luka Code Injection w SAP Landscape Transformation Komponenty: CA-LT-ANA Kategoria: Błąd programu | Krytyczna | 9.1 |
| 3691059 | [CVE-2026-0492] Luka eskalacji uprawnień w bazie danych SAP HANA Komponenty: HAN-DB-SEC Kategoria: Błąd programu | Wysoka | 8.8 |
| 3675151 | [CVE-2026-0507] Luka OS Command Injection w SAP Application Server dla ABAP i SAP NetWeaver RFCSDK Komponenty: BC-MID-RFC-SDK Kategoria: Błąd programu | Wysoka | 8.4 |
| 3565506 | [CVE-2026-0511] Wiele luk w aplikacji SAP Fiori (Intercompany Balance Reconciliation) Komponenty: FI-LOC-FI-RU Kategoria: Korekta funkcji prawnej | Wysoka | 8.1 |
| 3688703 | [CVE-2026-0506] Brak sprawdzania autoryzacji w SAP NetWeaver Application Server ABAP i ABAP Platform Komponenty: BC-DWB-DIC-F4 Kategoria: Błąd programu | Wysoka | 8.1 |
| 3681523 | [CVE-2026-0503] Brak sprawdzania autoryzacji w SAP ERP Central Component i SAP S/4HANA (SAP EHS Management) Komponenty: EHS-SAF Kategoria: Błąd programu | Średnia | 6.4 |
| 3666061 | [CVE-2026-0514] Luka XSS (Cross-Site Scripting) w SAP Business Connector Komponenty: BC-MID-BUS Kategoria: Błąd programu | Średnia | 6.1 |
| 3687372 | [CVE-2026-0499] Luka XSS w SAP NetWeaver Enterprise Portal Komponenty: EP-PIN-NAV Kategoria: Błąd programu | Średnia | 6.1 |
| 3638716 | [CVE-2026-0513] Luka Open Redirect w SAP Supplier Relationship Management (SICF Handler w katalogu SRM) Komponenty: SRM-EBP-CAT Kategoria: Błąd programu | Średnia | 4.7 |
| 3677111 | [CVE-2026-0497] Brak sprawdzania autoryzacji w Business Server Pages Application (Product Designer Web UI) Komponenty: PLM-PPM-PDN Kategoria: Błąd programu | Średnia | 4.3 |
| 3655227 | [CVE-2026-0494] Luka ujawnienia informacji w aplikacji SAP Fiori (Intercompany Balance Reconciliation) Komponenty: FI-LOC-FI-RU Kategoria: Korekta funkcji prawnej | Średnia | 4.3 |
| 3655229 | [CVE-2026-0493] Luka CSRF (Cross-Site Request Forgery) w aplikacji SAP Fiori (Intercompany Balance Reconciliation) Komponenty: FI-LOC-FI-RU Kategoria: Korekta funkcji prawnej | Średnia | 4.3 |
| 3657998 | [CVE-2026-0504] Niewystarczająca obsługa danych wejściowych w operacjach JNDI w SAP Identity Management Komponenty: BC-IAM-IDM Kategoria: Błąd programu | Niska | 3.8 |
| 3593356 | [CVE-2026-0510] Użycie przestarzałego algorytmu szyfrowania w NW AS Java UME User Mapping Komponenty: BC-JAS-SEC-UME Kategoria: Błąd programu | Niska | 3.0 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny