Hack Alerta

SAP lança 17 notas de segurança com quatro HotNews críticos

Por Redação Hack Alerta Publicado em 13/01/2026 08:03 Riscos e Ameaças Tempo de leitura: 3 min

No Security Patch Day de 13/01/2026 a SAP publicou 17 notas, com quatro HotNews críticos (CVSS até 9.9) afetando S/4HANA, Landscape Transformation e Wily Introscope; a empresa recomenda patch imediato e priorização de S/4HANA e HANA.

Resumo

No Security Patch Day de 13 de janeiro de 2026, a SAP publicou 17 notas de segurança, incluindo quatro HotNews com CVSS altos (até 9.9) que afetam S/4HANA, Landscape Transformation e ferramentas de monitoramento.

Principais vulnerabilidades

A divulgação lista quatro problemas críticos de maior prioridade:

  • CVE‑2026‑0501 — SQL injection em S/4HANA (Financials – General Ledger), CVSS 9.9, afeta S4CORE 102‑109. Autenticado com baixo privilégio, permite injeção de queries arbitrárias.
  • CVE‑2026‑0500 — RCE em Wily Introscope Enterprise Manager Workstation (WILY_INTRO_ENTERPRISE 10.8), CVSS 9.6; execução remota possível com interação do usuário.
  • CVE‑2026‑0498 — Code injection em S/4HANA (Private Cloud/On‑Premise), CVSS 9.1, afeta S4CORE 102‑109.
  • CVE‑2026‑0491 — Code injection em Landscape Transformation (DMIS 2011_1_700 a 2020), CVSS 9.1.

Riscos operacionais

As falhas de injection e RCE podem levar a comprometimento total de sistemas financeiros e ferramentas de monitoramento, com impacto direto sobre confidencialidade, integridade e disponibilidade. A SAP recomenda correção imediata para HotNews e priorização de S/4HANA e HANA devido à ampla adoção em ambientes empresariais.

Outros itens relevantes

Notas de alta prioridade incluem elevação de privilégios em SAP HANA (CVE‑2026‑0492, CVSS 8.8) e injeção de comandos no ABAP/NetWeaver (CVE‑2026‑0507, CVSS 8.4). Há também várias correções de média e baixa severidade para XSS, CSRF e divulgações de informação.

Recomendações práticas

  • Aplicar as notas críticas imediatamente em ambientes produtivos — a SAP orienta patch dentro de 24 horas para SQL injection e RCE quando possível.
  • Testar patches em staging antes de produção e garantir backups e planos de rollback.
  • Implementar controles compensatórios: segmentação de rede, WAF para pontos expostos, reforço de autenticação e monitoramento de integridade de aplicações.
  • Priorizar inventário de instâncias S/4HANA e HANA e mapear dependências de Landscape Transformation e Wily Introscope.

Implicações regulatórias

Para empresas brasileiras, falhas que comprometem sistemas financeiros ou dados pessoais podem gerar notificações obrigatórias sob a LGPD. Times de segurança e jurídico devem avaliar risco de vazamento e, se aplicável, preparar comunicações e medidas de contenção.

Metadados técnicos

Versões citadas explicitamente nas notas: S4CORE 102‑109; WILY_INTRO_ENTERPRISE 10.8; DMIS 2011_1_700 to 2020. A SAP mantém a lista completa e orientações no Support Portal e recomenda revisão imediata das notas.

Conclusão

O ciclo de janeiro traz vulnerabilidades de alto impacto que exigem atenção imediata de equipes de patching e operação. A combinação de SQL injection em módulos financeiros e RCE em ferramentas de monitoramento aumenta a criticidade: priorize S/4HANA/HANA, aplique mitigadores e valide dependências antes de subir patches em produção.

Baseado em publicação original de Cyber Security News
Tags: #sap #cve #s4hana #hanna #rce #sql-injection #patch #security-notes #vulnerabilidade
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar