⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A SAP lançou correções para 15 vulnerabilidades como parte de seu pacote de patches de segurança de junho de 2026, incluindo quatro falhas de gravidade crítica que afetam o SAP NetWeaver e o SAP Commerce Cloud.
NetWeaver é a principal plataforma de aplicativos e pilha de middleware da SAP que fornece a base para muitos aplicativos de negócios SAP, incluindo sistemas ERP, lidando com funções como atendimento de aplicativos, integração, autenticação, gerenciamento de usuários e processamento de dados.
Commerce Cloud é uma plataforma empresarial de comércio eletrônico (anteriormente Hybris). Ele permite que as organizações criem e gerenciem lojas online, canais de vendas digitais, catálogos de produtos, contas de clientes e sistemas de gerenciamento de pedidos para comércio B2B e B2C.
No boletim de segurança deste mês, a SAP lista as seguintes vulnerabilidades críticas como sendo abordadas:
CVE-2026-44748 (CVSS 9.9) – Wrapping de assinatura XML no SAP NetWeaver AS ABAP e plataforma ABAP, potencialmente permitindo o desvio de autenticação em ambientes baseados em SAML.
CVE-2026-27671 (CVSS 9.8) – Falha de corrupção de memória no SAP NetWeaver/ABAP Platform Application Server ABAP.
CVE-2026-22732 (CVSS 9.1) – Vulnerabilidade relacionada ao Spring Security que afeta SAP Commerce Cloud e SAP Data Hub.
CVE-2026-40128 (CVSS 9.0) – Vulnerabilidade de passagem de diretório no Web Container Java do SAP NetWeaver Application Server.
“O SAP NetWeaver Application Server ABAP e ABAP Platform permite que um invasor autenticado com privilégios normais obtenha uma mensagem assinada válida e envie documentos XML assinados modificados para o verificador”, diz a descrição do CVE-2026-44748.
“Isso pode resultar na aceitação de informações de identidade adulteradas, levando ao acesso não autorizado a dados confidenciais do usuário e à potencial interrupção do uso normal do sistema.”
No caso do CVE-2026-27671, um invasor pode explorá-lo sem autenticação, enviando solicitações RFC elaboradas para endpoints vulneráveis, aproveitando a validação inadequada do kernel para causar corrupção de memória.
Além dos problemas críticos de segurança acima, a SAP também abordou duas vulnerabilidades de alta gravidade. CVE-2026-29145 compreende várias falhas do Apache Tomcat que afetam o Commerce Cloud e CVE-2026-44751, que é um problema de verificação de autorização ausente no NetWeaver AS ABAP.
A empresa alemã de software empresarial também abordou vários problemas de injeção de SQL, path traversal, cross-site scripting (XSS), falsificação de e-mail e desvio de autorização em vários produtos SAP.
Detalhes sobre as falhas e conselhos de mitigação ou soluções alternativas estão disponíveis apenas para clientes SAP com uma conta no portal de segurança.
As organizações que utilizam os produtos afetados devem priorizar a correção, especialmente a falha de autenticação SAML (CVE-2026-44748) e o problema de corrupção de memória (CVE-2026-27671), que foram classificados como de gravidade muito alta e podem ter um sério impacto nos ambientes corporativos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
NetWeaver é a principal plataforma de aplicativos e pilha de middleware da SAP que fornece a base para muitos aplicativos de negócios SAP, incluindo sistemas ERP, lidando com funções como atendimento de aplicativos, integração, autenticação, gerenciamento de usuários e processamento de dados.
Commerce Cloud é uma plataforma empresarial de comércio eletrônico (anteriormente Hybris). Ele permite que as organizações criem e gerenciem lojas online, canais de vendas digitais, catálogos de produtos, contas de clientes e sistemas de gerenciamento de pedidos para comércio B2B e B2C.
No boletim de segurança deste mês, a SAP lista as seguintes vulnerabilidades críticas como sendo abordadas:
CVE-2026-44748 (CVSS 9.9) – Wrapping de assinatura XML no SAP NetWeaver AS ABAP e plataforma ABAP, potencialmente permitindo o desvio de autenticação em ambientes baseados em SAML.
CVE-2026-27671 (CVSS 9.8) – Falha de corrupção de memória no SAP NetWeaver/ABAP Platform Application Server ABAP.
CVE-2026-22732 (CVSS 9.1) – Vulnerabilidade relacionada ao Spring Security que afeta SAP Commerce Cloud e SAP Data Hub.
CVE-2026-40128 (CVSS 9.0) – Vulnerabilidade de passagem de diretório no Web Container Java do SAP NetWeaver Application Server.
“O SAP NetWeaver Application Server ABAP e ABAP Platform permite que um invasor autenticado com privilégios normais obtenha uma mensagem assinada válida e envie documentos XML assinados modificados para o verificador”, diz a descrição do CVE-2026-44748.
“Isso pode resultar na aceitação de informações de identidade adulteradas, levando ao acesso não autorizado a dados confidenciais do usuário e à potencial interrupção do uso normal do sistema.”
No caso do CVE-2026-27671, um invasor pode explorá-lo sem autenticação, enviando solicitações RFC elaboradas para endpoints vulneráveis, aproveitando a validação inadequada do kernel para causar corrupção de memória.
Além dos problemas críticos de segurança acima, a SAP também abordou duas vulnerabilidades de alta gravidade. CVE-2026-29145 compreende várias falhas do Apache Tomcat que afetam o Commerce Cloud e CVE-2026-44751, que é um problema de verificação de autorização ausente no NetWeaver AS ABAP.
A empresa alemã de software empresarial também abordou vários problemas de injeção de SQL, path traversal, cross-site scripting (XSS), falsificação de e-mail e desvio de autorização em vários produtos SAP.
Detalhes sobre as falhas e conselhos de mitigação ou soluções alternativas estão disponíveis apenas para clientes SAP com uma conta no portal de segurança.
As organizações que utilizam os produtos afetados devem priorizar a correção, especialmente a falha de autenticação SAML (CVE-2026-44748) e o problema de corrupção de memória (CVE-2026-27671), que foram classificados como de gravidade muito alta e podem ter um sério impacto nos ambientes corporativos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #sap #corrige #falhas #críticas #no #netweaver #e #commerce #cloud
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário