A SAP corrigiu 16 vulnerabilidades em vários produtos como parte de suas atualizações de segurança de julho de 2026, incluindo três falhas críticas no NetWeaver, no Commerce Cloud e no AppRouter.
O primeiro problema crítico corrigido neste mês é uma falha de segurança por corrupção de memória, identificada como
CVE-2026-44747
, decorrente de uma gravação fora dos limites no NetWeaver Application Server ABAP (AS ABAP), o ambiente de execução, o servidor de aplicações e a plataforma de desenvolvimento do software corporativo central da SAP.
Segundo a SAP, o SAP NetWeaver Application Server ABAP permite que um invasor autenticado explore erros lógicos no gerenciamento de memória para provocar uma corrupção de memória, o que pode levar a acesso não autorizado a dados, modificação de informações ou indisponibilidade do sistema.
Isso tem alto impacto sobre a confidencialidade, a integridade e a disponibilidade da aplicação.
A segunda falha crítica,
CVE-2026-27690
, é uma vulnerabilidade de HTTP Request Smuggling no SAP Approuter, uma biblioteca de middleware baseada em Node.js para aplicações em nuvem implantadas na Business Technology Platform da empresa, a SAP BTP.
Invasores sem autenticação podem explorar essa falha por meio de requisições HTTP especialmente criadas para acessar respostas de usuários e disparar ataques de negação de serviço contra o sistema-alvo.
A terceira falha crítica corrigida, identificada como
CVE-2026-44761
, foi encontrada na plataforma de comércio eletrônico corporativo SAP Commerce Cloud e decorre de credenciais padrão que permitem a invasores obter tokens de acesso válidos e ler ou modificar dados por meio de determinadas APIs.
O boletim de julho de 2026 da SAP também lista correções para seis falhas de alta gravidade, sete de gravidade média e uma vulnerabilidade de baixa gravidade, incluindo sequestro de DLL, redirecionamento aberto, ausência de verificações de autorização, execução remota de código, cross-site scripting (XSS), travessia de caminho, injeção de SQL, negação de serviço, divulgação de informações e configurações de segurança incorretas.
Embora a empresa ainda não tenha encontrado evidências de que as vulnerabilidades corrigidas nesta rodada tenham sido exploradas em ataques, a CISA adicionou 14 falhas de segurança da SAP ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas desde novembro de 2021, incluindo duas que foram abusadas por grupos de ransomware.
Mais recentemente, a SAP corrigiu 15 vulnerabilidades como parte do pacote de Security Patch de junho de 2026, e atacantes comprometeram vários pacotes oficiais da SAP no npm em um ataque à supply chain voltado ao roubo de credenciais de sistemas de desenvolvedores.
A multinacional alemã de software informou receita total superior a 36 bilhões de euros no exercício fiscal de 2025 e atende 99 das 100 maiores empresas do mundo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...