SAP Emite Patch Day Crítico: RCE e Deserialização Insegura
O SAP lançou 15 novas notas de segurança em seu Patch Day de março de 2026, abordando uma série de vulnerabilidades em seu portfólio de produtos. Entre elas, duas falhas classificadas como críticas permitem execução remota de código (RCE) e comprometimento total do sistema, exigindo atenção imediata dos administradores.
Descoberta e Escopo
A vulnerabilidade mais severa identificada é a CVE-2019-17571, com pontuação CVSS de 9.8, que afeta o aplicativo SAP Quotation Management Insurance (FS-QUO 800). A falha decorre de um componente Apache Log4j SocketServer desatualizado embutido no produto, que aceita e desserializa eventos de log sem autenticação. Isso permite que um atacante remoto não autenticado execute código arbitrário no sistema hospedeiro.
A segunda questão crítica, CVE-2026-27685 (CVSS 9.1), afeta o SAP NetWeaver Enterprise Portal Administration (EP-RUNTIME 7.50). Esta falha de desserialização insegura permite que um usuário privilegiado faça upload de conteúdo malicioso que, ao ser desserializado pelo servidor, resulta em alto impacto na confidencialidade, integridade e disponibilidade do sistema.
Impacto e Alcance
Além das falhas críticas, o patch inclui correções para vulnerabilidades de alta e média severidade. A CVE-2026-27689 (CVSS 7.7) é uma falha de negação de serviço (DoS) no SAP Supply Chain Management, permitindo que um atacante autenticado de baixo privilégio interrompa a disponibilidade dos componentes afetados.
Outras falhas incluem injeção SQL, SSRF e XSS em componentes do SAP NetWeaver e SAP Business One. A presença de componentes legados, como o Log4j, em produtos empresariais destaca o desafio de manter sistemas críticos atualizados contra ameaças conhecidas.
Recomendações
O SAP instruiu fortemente todos os clientes a visitarem seu Portal de Suporte e priorizarem a aplicação dos patches. Administradores devem tratar as notas de segurança 3698553 e 3714585 como prioridades imediatas devido ao risco de RCE. Organizações que utilizam SAP NetWeaver, SAP Supply Chain Management ou SAP Business One devem auditar todas as faixas de versão afetadas e aplicar as notas de segurança correspondentes sem demora.