SAP slapp juli-oppdateringen sin denne uken, melder The Hacker News. Det alvorligste hullet, CVE-2026-44747, er en out-of-bounds write i NetWeaver Application Server ABAP: en autentisert angriper kan utnytte logiske feil i minnehåndteringen og derfra hente ut eller endre data. To hull til fikk score 9.1, ett i SAP Approuter utenfor Cloud Foundry og ett i SAP Commerce Cloud.
Det mest lærerike er Commerce Cloud-hullet, CVE-2026-44761. Eksempelskriptene SAP selv publiserte på Help Portal satte opp en OAuth 2.0-klient med hardkodede nøkler som er offentlig dokumentert. Kjørte du skriptet og lot klienten stå igjen i produksjon, kan hvem som helst uten innlogging hente et gyldig access token og kalle API-er som leser og endrer data.
«Eldre versjoner av dokumentasjonen advarte ikke eksplisitt kundene mot å importere disse standardinnstillingene til produksjon.» — Onapsis, SAP-sikkerhetsselskap
Poenget rekker lenger enn SAP. Eksempelkonfigurasjon fra en leverandørs dokumentasjon havner i produksjon oftere enn noen liker å innrømme, og et token som er dokumentert offentlig er ikke en hemmelighet. Det gjelder like mye for MCP-servere, agent-oppsett og selvhostede tjenester du kopierte inn fra en README i fjor. SAP oppgir ingen tegn til utnyttelse i felten ennå.
Hva bør du gjøre?
- Installer den patchede ABAP Kernel-versjonen. Midlertidig kan du deaktivere ICF-noder i transaksjon SICF, men Onapsis advarer om at det slår ut SAP GUI for HTML.
- Let etter OAuth-klienten fra eksempelskriptet i produksjonsmiljøet ditt. Finnes den, slett den eller bytt den hardkodede hemmeligheten.
- Gå gjennom egne tjenester for nøkler som stammer fra en quickstart eller en README. Alt som er dokumentert offentlig, må roteres.