Albisteak

Sap-en segurtasuna eguneratzea - 2026ko otsaila

Argitalpen-data: 

Laburpen exekutiboa

2026ko otsailaren 10ean, SAPek 26 segurtasun-ohar berri argitaratu zituen eta eguneraketa bat egin zuen aurrez kaleratutako ohar bati, guztira 27 ahultasun zuzenduz. Horien artean, bi ahultasun kritiko nabarmendu ziren: Code Injection ahultasuna SAP CRM eta SAP S/4HANA (Scripting Editor) produktuan, CVSS 9.9 puntuaziorekin; eta baimen-egiaztapenaren gabezia SAP NetWeaver AS ABAP eta ABAP Platform inguruan, CVSS 9.6 puntuaziorekin. Gainera, hainbat ahultasun larri konpondu ziren, besteak beste XML Signature Wrapping, Zerbitzu‑Ukazioa (DoS) eta Open Redirect motakoak, SAP NetWeaver, BusinessObjects BI eta Commerce Cloud bezalako osagaietan eragina dutenak. SAPek gomendatzen du Laguntza Ataria bisitatzea eta eskuragarri dauden adabakiak lehentasunez aplikatzea SAP ingurunea behar bezala babesteko.

Eragindako baliabideak

  • SAP CRM eta SAP S/4HANA (Scripting Editor) (Bertsioak: S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801)
  • SAP NetWeaver Application Server ABAP eta ABAP Platform (Bertsioak: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19)
  • SAP NetWeaver AS ABAP eta ABAP Platform (Bertsioak: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917, SAP_BASIS 918)
  • SAP Supply Chain Management (Bertsioak: SCMAPO 713, 714, SCM 700, 701, 702, 712)
  • SAP Solution Tools Plug-In (ST-PI) (Bertsioak: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP BusinessObjects BI Platform (Bertsioak: ENTERPRISE 430, 2025, 2027)
  • SAP Commerce Cloud (Bertsioak: HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21)
  • SAP BusinessObjects Business Intelligence Platform (Bertsioak: ENTERPRISE 430, 2025, 2027)
  • SAP Document Management System (Bertsioak: SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606, 617)
  • Business Server Pages Application (TAF_APPLAUNCHER) (Bertsioak: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP NetWeaver Application Server ABAP (SAP GUI for HTML oinarritutako aplikazioak) (Bertsioak: KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12, 9.14)
  • SAP Business One (B1 Client Memory Dump Files) (Bertsioak: B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP Business Workflow (Bertsioak: SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • ABAP oinarritutako SAP sistemak (Bertsioak: ST-PI 2005_1_700, 2008_1_710, 740, 758)
  • SAP BusinessObjects Enterprise (Central Management Console) (Bertsioak: ENTERPRISE 430, 2025, 2027)
  • SAP NetWeaver (JMS zerbitzua) (Bertsioak: J2EE-FRMW 7.50)
  • SAP Fiori App (Manage Service Entry Sheets - Lean Services) (Bertsioak: S4CORE 102, 103, 104, 105, 106, 107)
  • SAP Support Tools Plug-In (Bertsioak: ST-PI 2008_1_700, 2008_1_710, 740, 758)
  • SAP S/4HANA Defense & Security (Disconnected Operations) (Bertsioak: EA-DFPS 600, 603, 604, 605, 606, 616, 617, 618, 619, 800, 801, 802, 803, 804, 805, 806, 807, 808, 809)
  • SAP Strategic Enterprise Management (Balanced Scorecard in BSP Application) (Bertsioak: SEM-BW 600, 700, 602, 603, 604, 605, 634, 736, 746, 747, 748, 800)
  • SAP NetWeaver Application Server Java (Bertsioak: LMNWABASICAPPS 7.50)
  • SAP NetWeaver eta ABAP Platform (Application Server ABAP) (Bertsioak: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.16, 9.17, 9.18)

Azterketa teknikoa

  • CVE-2026-0488: SAP CRM eta SAP S/4HANA-n ahultasun batek erasoilea autentifikatua funtzio kritikoak baimenik gabe exekutatzea ahalbidetzen du, SQL adierazpen arbitrarioak exekutatzea barne. Honek datu-basea osorik urratzea ekar dezake, datuen konfidentzialtasun, integritate eta eskuragarritasunari kalte larririk eginez. Akats hau baliatzeko, erasoilea sisteman autentifikatuta egon behar da.
    • CWE-862
    • CVSS: 9.9 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0509: SAP NetWeaver Application Server ABAP-ek pribilegio gutxiko erabiltzaile autentifikatua Llamadas a Funciones Remotas egiteko baimenik gabe S_RFC beharrezkoa duten kasu batzuetan baimena ematen du. Honek sistema integritate eta eskuragarritasunari kalte handia eragin dezake, aplikazioaren konfidentzialtasuna kaltetuz. Erabiltzaileak autentifikatuta egon behar du ahultasun hau baliatzeko.
    • CWE-862
    • CVSS: 9.6 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23687: SAP NetWeaver Application Server ABAP eta ABAP Platform-en ahultasunak erasoilea autentifikatua mezu sinatu baliodun bat lortzea eta XML sinatu aldatuak egiaztapenera bidaltzea ahalbidetzen du. Honek identitate informazio aldatuen onarpena, datu sentikorrak baimenik gabe eskuratzeko aukera eta sistemaren erabilera normala etetea ekar dezake. Erasoilea autentifikatuta egon behar da eta pribilegio normalak izan behar ditu akats hau baliatzeko.
    • CWE-347
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23689: Kontrolik gabeko baliabideen kontsumoaren (Denial of Service) ahultasun bat identifikatu da, non erasoilea autentifikatua pribilegio arruntekin funtzio urrun bat aktibatu dezake parametro kontrolatzeko gehiegizko handia duela. Honek sistemako baliabideak kontsumitzen dituen ziklo luze bat exekutatzea eragiten du, eta horrek sistemaren funtzionamendua eteteko aukera ematen du. Esplotazio arrakastatsuak sistemaren eskuragarritasunari eragiten dio, konfidentzialtasuna eta integritatea kaltetuz.
    • CWE-606
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24322: SAP Solution Tools Plug-In (ST-PI) ahultasun bat aurkezten du, non funtzio modulu batek erabiltzaile autentifikatuei beharrezko baimen egiaztapenak ez egiten dituen, informazio sentikorra zabaltzea ahalbidetuz. Akats honek datuen konfidentzialtasuna larriki konprometitu dezake, baina ez du integritatean edo eskuragarritasunean eragiten. Esplotazio baldintza gehigarriak ez dira zehazten.
    • CWE-862
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0490: SAP BusinessObjects BI Platform-en ahultasun batek erasoilea ez autentifikatua sareko eskaera zehatz bat bidaltzea ahalbidetzen du, autentifikazioa etenda uzten duena, erabiltzaile legitimoen sarbidea blokeatuz. Honek sistemaren eskuragarritasunean eragin handia du, baina ez du datuen konfidentzialtasunean edo integritatean eragiten. Esplotazioarentzako baldintza berezirik ez dira adierazten.
    • CWE-862
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0485: SAP BusinessObjects BI Platform-en ahultasun batek erasoilea ez autentifikatua eskaera zehatzak bidaltzea ahalbidetzen du, eta horrek Content Management Server (CMS) blokeatzea eta automatikoki berrabiaraztea eragiten du. Honek zerbitzuaren etena ekar dezake, CMS guztiz inoperatibo utziz. Ahultasun honen esplotazio arrakastatsuak zerbitzuaren eskuragarritasunean eragin handia du, datuen konfidentzialtasuna eta integritatea kaltetuz.
    • CWE-405
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-12383: Eclipse Jersey bertsioetan 2.45, 3.0.16 eta 3.1.9, lasterketa-baldintza bat egon daiteke, SSL konfigurazio kritikoak, hala nola, autentifikazio bikoitza eta gakoen biltegiak, baztertzea eragiten duena. Honek erasoileak segurtasunik gabeko zerbitzuekin fidatzea ahalbidetu dezake, eta horrek SSLHandshakeException salbuespena ekar dezake baldintza normala izanez. Ahultasun honen esplotazioak baldintza zehatzak behar ditu arazoa eragiteko.
    • CWE-362
    • CVSS: 7.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0508: SAP BusinessObjects Business Intelligence Platform-en ahultasun batek erasoilea autentifikatua pribilegio handiekin aplikazioan URL gaiztoak txertatzea ahalbidetzen du. Honek erasoileak kontrolatutako domeinora balioztatu gabeko birbideratzea ekar dezake, eta horrek edukiontzi gaiztoen deskarga ekar dezake. Ahultasun honen eragina handia da, aplikazioaren konfidentzialtasuna eta integritatea kaltetuz, baina ez du eskuragarritasunean eragiten.
    • CWE-601
    • CVSS: 7.3 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0484: SAP NetWeaver Application Server ABAP eta SAP S/4HANA-n ahultasun batek erasoilea autentifikatua transakzio kode zehatz batera sarbidea izatea eta sisteman testu datuak aldatzea ahalbidetzen du. Ahultasun honen eragina aplikazioaren integritatean handia da, konfidentzialtasuna eta eskuragarritasuna kaltetuz. Ahultasun hau baliatzeko, erasoilea sisteman autentifikatuta egon behar da.
    • CWE-601
    • CVSS: 6.5 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24324: SAP BusinessObjects Business Intelligence Platform (AdminTools) ahultasun batek erasoilea autentifikatua kontsulta bat exekutatzea ahalbidetzen du, eta horrek edukien kudeaketa zerbitzaria (CMS) blokeatzea eragiten du. Honek zerbitzuaren etena ekartzen du, sistemaren eskuragarritasunean eraginez. Esplotazio arrakastatsuak erasoilea AdminTools-en erabiltzaile pribilegioak izatea eskatzen du. Sistemaren konfidentzialtasuna eta integritatea kaltetzen ez dira.
    • CWE-405
    • CVSS: 6.5 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24323: BSP aplikazioek erasoilea ez autentifikatua gaiztoak script edukia injetatzea ahalbidetzen dute erabiltzaileak kontrolatutako URL parametroen bidez, behar bezala garbitu gabe. Honek konfidentzialtasun eta integritatean eragin txikia ekar dezake biktimaren nabigatzailean script-a exekutatzean, aplikazioaren eskuragarritasunean eragin gabe. Esplotazio hau egiteko baldintza berezirik ez da beharrezkoa.
    • CWE-601
    • CVSS: 6.1 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0505: BSP aplikazioek erasoilea ez autentifikatua erabiltzaileak kontrolatutako URL parametroak manipulatzeko aukera ematen diote, behar bezala balidatu gabe. Honek erasoileek kontrolatutako webguneetara balioztatu gabeko birbideratzeak ekar ditzake, eta horrek konfidentzialtasun eta integritatean eragin txikia ekar dezake, aplikazioaren eskuragarritasunean eragin gabe. Esplotazio hau egiteko baldintza berezirik ez da beharrezkoa.
    • CWE-79
    • CVSS: 6.1 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24328: SAP TAF_APPLAUNCHER-en ahultasun batek erasoilea ez autentifikatua gaiztoak loturak sortzea ahalbidetzen du, biktimak erasoileak kontrolatutako webguneetara birbideratzen dituena. Honek biktimaren nabigatzailean informazio sentikorra agerian utzi edo aldatzea ahalbidetu dezake, datuen konfidentzialtasuna eta integritatea kaltetuz, baina aplikazioaren eskuragarritasunean eragin gabe. Esplotazio hau egiteko baldintza berezirik ez da beharrezkoa.
    • CWE-601
    • CVSS: 6.1 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2025-0059: SAP NetWeaver Application Server ABAP-en SAP GUI for HTML aplikazioek ahultasun bat aurkezten dute, non erasoilea pribilegio administratiboak dituen erabiltzaileak nabigatzailean lokalizatutako informazioa eskuratu dezakeen. Honek informazio kritiko ez denetik oso sentikorra den datuetaraino iritsi daiteke, aplikazioaren konfidentzialtasuna larriki konprometitzen duena. Erasoilea sistemako biktimaren erabiltzaile direktorioan sarbidea izan behar du ahultasun hau baliatzeko.
    • CWE-497
    • CVSS: 6.0 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23684: SAP Commerce Cloud-en lasterketa-baldintza bat dago, non erasoilea produktuak gehitzean balio okerrak dituzten sarrerak sortu ditzake. Honek datuen integritatean kalte handia eragin dezake, baina aplikazioaren konfidentzialtasuna eta eskuragarritasuna ez dira konprometitzen. Esplotazioarentzako baldintza gehigarriak ez dira zehazten.
    • CWE-366
    • CVSS: 5.9 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24319: SAP Business One-n, informazio sentikorra aplikazioaren memoria dump fitxategietan biltegiratzen da, ofuskatuta gabe. Informazio honetara sarbideak baimenik gabeko operazioak ahalbidetu ditzake, hala nola, enpresako datuak aldatzea, eta horrek konfidentzialtasun eta integritateari kalte handia eragiten dio, eskuragarritasunean eragin gabe. Esplotazio hau egiteko baldintza berezirik ez da beharrezkoa.
    • CWE-316
    • CVSS: 5.8 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24321: SAP Commerce Cloud-ek API anitzetan ahultasunak aurkezten ditu, non erabiltzaile ez autentifikatuek eskaerak egin eta informazio sentikorra eskuratu dezaketen. Ahultasun honen eragina konfidentzialtasunari dagokionez baxua da, integritatean eta eskuragarritasunean eragin gabe. Esplotazio hau egiteko baldintza berezirik ez da beharrezkoa, eta horrek publiko izan behar ez diren datuetarako sarbidea errazten du.
    • CWE-359
    • CVSS: 5.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24312: SAP Business Workflow-en baimen egiaztapen oker batek pribilegioen eskalazioa ahalbidetzen du. Erabiltzaile administratibo autentifikatua rol murrizketak saihestu ditzake, funtzio gutxiago sentikorren baimenak erabiliz baimenik gabeko pribilegio handiko ekintzak egiteko. Honek datuen integritatean eragin handia du, konfidentzialtasunean eragin txikia eta aplikazioaren eskuragarritasunean eragin gabe. Esplotazioarentzako baldintza zehatzik ez dira adierazten.
    • CWE-862
    • CVSS: 5.2 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-0486: ABAP oinarritutako SAP sistemetan, urruneko funtzio modulu batek erabiltzaile autentifikatua baimen egiaztapenak behar bezala ez egiteak sistemaren informazioa zabaltzea ahalbidetzen du. Honek konfidentzialtasunari eragin txikia du. Integritatea eta eskuragarritasuna ez dira kaltetzen. Esplotazioarentzako baldintza gehigarriak ez dira zehazten.
    • CWE-862
    • CVSS: 5.0 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24325: SAP BusinessObjects Enterprise-k Stored Cross-Site Scripting (XSS) ahultasun bat aurkezten du, erabiltzaileak kontrolatutako sarrerak behar bezala kodetzeko ezintasuna dela eta. Honek administratzaile erabiltzaile bati JavaScript gaiztoak webgune batean injetatzea ahalbidetzen dio, eta hori beste erabiltzaile batek orrialde konprometitua bisitatzean exekutatuko da. Datuen konfidentzialtasun eta integritatean eragina baxua da, eta aplikazioaren eskuragarritasunean ez du eraginik.
    • CWE-79
    • CVSS: 4.8 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23685: SAP NetWeaver (JMS zerbitzua) ahultasun bat identifikatu da, non erasoilea autentifikatua administratzaile gisa lokaleko sarbidea duenak baliatu dezakeen. Edukien gaiztoak prozesatuz, logika barnean desegonkortzeak eragin ditzake, zerbitzuaren etena ekar dezakeen. Esplotazio arrakastatsuak eskuragarritasunean eragin handia izango luke, konfidentzialtasuna eta integritatea kaltetuz.
    • CWE-502
    • CVSS: 4.4 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23681: SAP Support Tools Plug-In-en funtzio modulu batean baimen egiaztapen falta batek erasoilea autentifikatua informazio sistemaren eta bere konfigurazioaren informazioa eskuratzeko modulu zehatzak deitzea ahalbidetzen du. Informazio hau zabaltzeak erasoileari etorkizuneko erasoak planifikatzeko lagundu diezaioke. Ahultasun honek aplikazioaren konfidentzialtasunean eragina baxua du, integritatean eta eskuragarritasunean eragin gabe.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23688: SAP Fiori aplikazioak zerbitzu sarrera orriak kudeatzeko baimen egiaztapenak beharrezkoak ez dituen ahultasun bat aurkezten du, pribilegioen eskalazioa ahalbidetuz. Integritatean eragina baxua da, eta konfidentzialtasuna eta eskuragarritasuna ez dira kaltetzen. Ahultasun hau baliatzeko, erabiltzaileak autentifikatuta egon behar du.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24326: SAP S/4HANA Defense & Security-n ahultasun batek erasoilea pribilegio arruntekin urruneko funtzio moduluak exekutatzea ahalbidetzen du, datu-base estandarrak zuzenean eguneratzeko. Honek datuen integritatean eragina arina izan daiteke, aplikazioaren konfidentzialtasuna eta eskuragarritasuna kaltetuz. Erasoilea pribilegioak izan behar ditu ahultasun hau baliatzeko.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24327: SAP Strategic Enterprise Management-en ahultasun batek erasoilea autentifikatua baimenik gabeko informazioa eskuratzeko aukera ematen dio, baimen egiaztapen falta dela eta. Honek datuen konfidentzialtasuna konprometitu dezake, baina eragina baxua da eta ez du integritatean edo eskuragarritasunean eragiten. Ahultasun hau baliatzeko, erasoilea sisteman autentifikatuta egon behar da.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-23686: SAP NetWeaver Application Server Java-n CRLF injezio ahultasun batek erasoilea autentifikatua administratzaile sarbidea duenak aplikazioan edukia gaiztoak bidaltzea ahalbidetzen du. Eduki hau prozesatzen bada, aplikazioak kontrolatutako ezegonkor sarrerak injetatu ditzake, aplikazioaren kontrolpeko ezarpenak manipulatzeko aukera emanez. Esplotazio arrakastatsuak integritatean eragin baxua du, konfidentzialtasuna eta eskuragarritasuna kaltetuz.
    • CWE-113
    • CVSS: 3.4 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-24320: SAP NetWeaver eta ABAP Platform-en memoria kudeaketa ahultasun batek erasoilea autentifikatua, karaktere bereziz datu bereziak emanez, logika akatsak sortu ditzake, memoria ustelduz. Honek memoria edukia filtratzea ekar dezake, aplikazioaren konfidentzialtasunari eragina baxua izango litzateke, integritatean edo eskuragarritasunean eragin gabe. Esplotazioarentzako baldintza gehigarriak ez dira zehazten.
    • CWE-113
    • CVSS: 3.1 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Ahultasun horiek eta beste batzuk saihesteko, gomendatzen da SAPen azken segurtasun‑eguneraketak.

Erreferentzia gehigarriak