Hack Alerta

SAP Patch Day: correção crítica CVE‑2026‑0488 em CRM e S/4HANA

Por Redação Hack Alerta Publicado em 10/02/2026 14:06 Riscos e Ameaças Tempo de leitura: 2 min

A SAP lançou o Patch Day de fevereiro de 2026 com 26 Security Notes; o item crítico é CVE-2026-0488 (code injection) em SAP CRM e S/4HANA, CVSS 9.9, que permite execução de código por usuário autenticado de baixo privilégio. A SAP recomenda aplicação imediata dos patches e revisão de endpoints expostos.

Resumo

No Patch Day de fevereiro de 2026 a SAP publicou 26 novas Security Notes e uma atualização de nota anterior. O destaque é a correção para CVE-2026-0488 — uma vulnerabilidade de injeção de código em SAP CRM e S/4HANA (Scripting Editor) com pontuação CVSS 9.9, que permite a um usuário autenticado de baixo privilégio executar código arbitrário.

Principais vulnerabilidades do boletim

Entre os itens de maior risco estão:

  • CVE-2026-0488 (SAP CRM & S/4HANA Scripting Editor) — Code injection, CVSS 9.9 (SAP Note 3697099).
  • CVE-2026-0509 (NetWeaver AS ABAP / ABAP Platform) — Missing authorization check, CVSS 9.6 (SAP Note 3674774).
  • CVE-2026-23687 (XML Signature Wrapping) e outros problemas de disponibilidade e autorização em módulos NetWeaver e Supply Chain.

Risco prático e vetores

Falhas de injeção em componentes de scripting em ambientes SAP podem permitir que um usuário de nível funcional — com acesso aparentemente legítimo — eleve impacto ao executar comandos no contexto de aplicação, abrir caminhos laterais para módulos conectados e afetar integrações críticas. A ausência de checagens de autorização em plataformas ABAP agrava o risco por facilitar abuso de privilégios.

Recomendações de mitigação

A SAP orienta revisar as Security Notes listadas no Support Portal e aplicar patches prioritariamente. Pontos práticos para equipes de segurança em SAP landscapes incluem:

  • Priorizar correção de CVE-2026-0488 e CVE-2026-0509 em sistemas expostos ou com acesso de usuários de negócios.
  • Restrição de acesso a interfaces web e endpoints expostos enquanto o patch é aplicado.
  • Revisão de logs e auditorias para ações suspeitas realizadas por usuários com permissões aparentemente benignas.

Componentes adicionais

O boletim também lista falhas de DoS, open redirect e XSS em SAP BusinessObjects BI Platform, SAP Commerce Cloud e outros módulos auxiliares — itens que merecem atenção especialmente quando endpoints são publicamente acessíveis.

O que falta saber

O Patch Day compila correções; o comunicado não relata exploração ativa generalizada no momento da publicação, mas a criticidade das falhas (9.9/9.6) e a natureza de injeção/checagem de autorização exigem aplicação rápida e auditoria pós-patch para detecção de possíveis abusos prévios.

Fonte

Baseado nas Security Notes e cobertura do Cyber Security News referentes ao Patch Day de fevereiro de 2026.

Baseado em publicação original de Cyber Security News
Tags: #sap #s4hana #crm #cve-2026-0488 #patch-day #netweaver #injection #security-notes #correcao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar