Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 4T SIDEN · sikkerhet

SAP fikser CVSS 9.9-hull i NetWeaver og OAuth-nøkler kopiert fra egen dokumentasjon

SYNOPSIS_GENERERT

SAP tettet tre kritiske hull i juli-oppdateringen, blant dem CVE-2026-44747 (CVSS 9.9) i NetWeaver ABAP og en OAuth-klient med standardnøkler hentet fra selskapets egen eksempelkode.

SAP slapp juli-oppdateringen sin denne uken, melder The Hacker News. Det alvorligste hullet, CVE-2026-44747, er en out-of-bounds write i NetWeaver Application Server ABAP: en autentisert angriper kan utnytte logiske feil i minnehåndteringen og derfra hente ut eller endre data. To hull til fikk score 9.1, ett i SAP Approuter utenfor Cloud Foundry og ett i SAP Commerce Cloud.

Det mest lærerike er Commerce Cloud-hullet, CVE-2026-44761. Eksempelskriptene SAP selv publiserte på Help Portal satte opp en OAuth 2.0-klient med hardkodede nøkler som er offentlig dokumentert. Kjørte du skriptet og lot klienten stå igjen i produksjon, kan hvem som helst uten innlogging hente et gyldig access token og kalle API-er som leser og endrer data.

«Eldre versjoner av dokumentasjonen advarte ikke eksplisitt kundene mot å importere disse standardinnstillingene til produksjon.» — Onapsis, SAP-sikkerhetsselskap

Poenget rekker lenger enn SAP. Eksempelkonfigurasjon fra en leverandørs dokumentasjon havner i produksjon oftere enn noen liker å innrømme, og et token som er dokumentert offentlig er ikke en hemmelighet. Det gjelder like mye for MCP-servere, agent-oppsett og selvhostede tjenester du kopierte inn fra en README i fjor. SAP oppgir ingen tegn til utnyttelse i felten ennå.

Hva bør du gjøre?

  1. Installer den patchede ABAP Kernel-versjonen. Midlertidig kan du deaktivere ICF-noder i transaksjon SICF, men Onapsis advarer om at det slår ut SAP GUI for HTML.
  2. Let etter OAuth-klienten fra eksempelskriptet i produksjonsmiljøet ditt. Finnes den, slett den eller bytt den hardkodede hemmeligheten.
  3. Gå gjennom egne tjenester for nøkler som stammer fra en quickstart eller en README. Alt som er dokumentert offentlig, må roteres.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN