Se han descubierto vulnerabilidades de severidad crítica y alta en productos SAP. Un actor malicioso podría ejecutar sentencias SQL arbitrarias, manipular reportes ejecutables o provocar una denegación de servicio.
Productos afectados
SAP Business Planning and Consolidation y SAP Business Warehouse:
- Versiones HANABPC 810.
- Versiones BPC4HANA 300.
- Versiones SAP_BW 750, 752, 753, 754, 755, 756, 757, 758 y 816.
SAP ERP y SAP S/4HANA (Private Cloud y On-Premise):
- Versiones SAP_FIN 618, 720, 730.
- Versiones EA-FIN 617, 700.
- Versión SAPSCORE 135.
- Versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
- Versiones EA-APPL 600, 602, 603, 604, 605, 606.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-27681: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de elementos especiales en comandos SQL. Un actor malicioso remoto y autenticado podría ejecutar sentencias SQL diseñadas para leer, modificar o eliminar elementos de la base de datos, comprometiendo la confidencialidad, integridad y disponibilidad del sistema.
CVE-2026-34256: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de ausencia de verificación de autorización. Un actor malicioso remoto y autenticado podría ejecutar reportes ABAP específicos para sobrescribir otros reportes ejecutables existentes, lo que resultaría en la pérdida de funcionalidad e integridad de los componentes afectados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias