SAP alerta para falhas críticas no NetWeaver e no Commerce Cloud
14 de Julho de 2026

A SAP corrigiu 16 vulnerabilidades em vários produtos como parte de suas atualizações de segurança de julho de 2026, incluindo três falhas críticas no NetWeaver, no Commerce Cloud e no AppRouter.

O primeiro problema crítico corrigido neste mês é uma falha de segurança por corrupção de memória, identificada como CVE-2026-44747 , decorrente de uma gravação fora dos limites no NetWeaver Application Server ABAP (AS ABAP), o ambiente de execução, o servidor de aplicações e a plataforma de desenvolvimento do software corporativo central da SAP.

Segundo a SAP, o SAP NetWeaver Application Server ABAP permite que um invasor autenticado explore erros lógicos no gerenciamento de memória para provocar uma corrupção de memória, o que pode levar a acesso não autorizado a dados, modificação de informações ou indisponibilidade do sistema.

Isso tem alto impacto sobre a confidencialidade, a integridade e a disponibilidade da aplicação.

A segunda falha crítica, CVE-2026-27690 , é uma vulnerabilidade de HTTP Request Smuggling no SAP Approuter, uma biblioteca de middleware baseada em Node.js para aplicações em nuvem implantadas na Business Technology Platform da empresa, a SAP BTP.

Invasores sem autenticação podem explorar essa falha por meio de requisições HTTP especialmente criadas para acessar respostas de usuários e disparar ataques de negação de serviço contra o sistema-alvo.

A terceira falha crítica corrigida, identificada como CVE-2026-44761 , foi encontrada na plataforma de comércio eletrônico corporativo SAP Commerce Cloud e decorre de credenciais padrão que permitem a invasores obter tokens de acesso válidos e ler ou modificar dados por meio de determinadas APIs.

O boletim de julho de 2026 da SAP também lista correções para seis falhas de alta gravidade, sete de gravidade média e uma vulnerabilidade de baixa gravidade, incluindo sequestro de DLL, redirecionamento aberto, ausência de verificações de autorização, execução remota de código, cross-site scripting (XSS), travessia de caminho, injeção de SQL, negação de serviço, divulgação de informações e configurações de segurança incorretas.

Embora a empresa ainda não tenha encontrado evidências de que as vulnerabilidades corrigidas nesta rodada tenham sido exploradas em ataques, a CISA adicionou 14 falhas de segurança da SAP ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas desde novembro de 2021, incluindo duas que foram abusadas por grupos de ransomware.

Mais recentemente, a SAP corrigiu 15 vulnerabilidades como parte do pacote de Security Patch de junho de 2026, e atacantes comprometeram vários pacotes oficiais da SAP no npm em um ataque à supply chain voltado ao roubo de credenciais de sistemas de desenvolvedores.

A multinacional alemã de software informou receita total superior a 36 bilhões de euros no exercício fiscal de 2025 e atende 99 das 100 maiores empresas do mundo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...