A SAP liberou correções para 15 vulnerabilidades como parte de seu pacote de Atualização de Segurança de junho de 2026, incluindo quatro falhas críticas que afetam o SAP NetWeaver e o SAP Commerce Cloud.
O NetWeaver é a plataforma central de aplicações e a camada de middleware da SAP, que serve de base para muitos aplicativos corporativos da empresa, incluindo sistemas ERP.
Ele concentra funções como execução de aplicações, integração, autenticação, gerenciamento de usuários e processamento de dados.
Já o Commerce Cloud é uma plataforma de comércio eletrônico corporativo, anteriormente conhecida como Hybris.
Ela permite que organizações criem e administrem lojas virtuais, canais digitais de vendas, catálogos de produtos, contas de clientes e sistemas de gestão de pedidos para operações B2B e B2C.
No boletim de segurança deste mês, a SAP lista as seguintes vulnerabilidades críticas como corrigidas:
CVE-2026-44748
, com CVSS 9,9, uma falha de XML Signature Wrapping no SAP NetWeaver AS ABAP e na ABAP Platform, que pode permitir a bypass de autenticação em ambientes baseados em SAML.
CVE-2026-27671
, com CVSS 9,8, uma falha de corrupção de memória no SAP NetWeaver e na ABAP Platform Application Server ABAP.
CVE-2026-22732
, com CVSS 9,1, uma vulnerabilidade relacionada ao Spring Security que afeta o SAP Commerce Cloud e o SAP Data Hub.
CVE-2026-40128
, com CVSS 9,0, uma vulnerabilidade de travessia de diretórios no Web Container do SAP NetWeaver Application Server Java.
“O SAP NetWeaver Application Server ABAP e a ABAP Platform permitem que um invasor autenticado com privilégios normais obtenha uma mensagem assinada válida e envie documentos XML assinados e modificados para o verificador”, diz a descrição da
CVE-2026-44748
.
“Isso pode resultar na aceitação de informações de identidade adulteradas, levando a acesso não autorizado a dados sensíveis de usuários e a uma possível interrupção do uso normal do sistema.”
No caso da
CVE-2026-27671
, um invasor pode explorá-la sem autenticação ao enviar solicitações RFC manipuladas para endpoints vulneráveis, aproveitando uma validação inadequada do kernel para provocar corrupção de memória.
Além das falhas críticas, a SAP também corrigiu duas vulnerabilidades de alta gravidade.
A
CVE-2026-29145
reúne várias falhas no Apache Tomcat que afetam o Commerce Cloud, enquanto a
CVE-2026-44751
envolve a ausência de uma verificação de autorização no NetWeaver AS ABAP.
A empresa alemã de software corporativo também tratou diversas falhas de injeção SQL, travessia de caminho, cross-site scripting (XSS), falsificação de e-mail e bypass de autorização em diferentes produtos SAP.
Os detalhes sobre as falhas e as orientações de mitigação ou contorno estão disponíveis apenas para clientes SAP com conta no portal de segurança.
Organizações que utilizam os produtos afetados devem priorizar a aplicação dos patches, especialmente a falha de autenticação SAML, identificada como
CVE-2026-44748
, e o problema de corrupção de memória,
CVE-2026-27671
.
Ambas receberam classificação de severidade muito alta e podem causar impacto significativo em ambientes corporativos.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...