SAP phát hành bản vá khẩn cấp cho các lỗ hổng nghiêm trọng trong S/4HANA và Commerce

Nhà sản xuất phần mềm doanh nghiệp SAP vào thứ Ba vừa qua đã công bố việc phát hành 15 ghi chú bảo mật mới như một phần của Ngày vá bảo mật tháng 5 năm 2026.

SAP Security

Trong số các lỗ hổng đã được khắc phục, những vấn đề nghiêm trọng nhất là các lỗi tiêm mã (code injection) trong S/4HANA và Commerce. Những lỗi này có thể cho phép kẻ tấn công rò rỉ dữ liệu và thực thi mã tùy ý. Cả hai khiếm khuyết bảo mật này đều được đánh giá điểm số CVSS là 9.6.

Lỗ hổng nghiêm trọng trong S/4HANA

Lỗi đầu tiên, được theo dõi dưới mã định danh CVE-2026-34260, ảnh hưởng đến S/4HANA và được mô tả là vấn đề tiêm mã SQL. Nguyên nhân xuất phát từ việc thiếu kiểm tra và làm sạch đầu vào (input validation and sanitization).

Theo công ty bảo mật chuyên về SAP là Onapsis, một kẻ tấn công đã được xác thực có thể khai thác điểm yếu này để chèn các câu lệnh SQL độc hại. Tuy nhiên, mã bị lỗi chỉ cho phép quyền truy cập đọc dữ liệu, do đó một cuộc tấn công thành công sẽ chỉ ảnh hưởng đến tính bảo mật và tính sẵn có của ứng dụng.

Lỗ hổng trong SAP Commerce

Lỗ hổng nghiêm trọng thứ hai, được theo dõi là CVE-2026-34263, nằm trong SAP Commerce. Vấn đề này được mô tả là thiếu kiểm soát xác thực (authentication check) ảnh hưởng đến cấu hình đám mây.

"Lỗ hổng này gây ra bởi cấu hình bảo mật quá cho phép với thứ tự quy tắc không phù hợp, cho phép một người dùng chưa được xác thực thực hiện tải lên cấu hình độc hại và tiêm mã, dẫn đến việc thực thi mã phía máy chủ tùy ý," Onapsis giải thích.

Các lỗ hổng khác và khuyến nghị

Lần vá lỗi mới nhất của SAP cũng giải quyết một lỗi tiêm lệnh hệ điều hành (OS command injection) mức độ cao trong Forecasting & Replenishment. Được theo dõi là CVE-2026-34259, lỗi này có thể cho phép những kẻ tấn công đã xác thực thực thi các lệnh hệ điều hành tùy ý.

12 ghi chú bảo mật còn lại được phát hành trong Ngày vá bảo mật tháng 5 năm 2026 giải quyết các lỗi mức độ trung bình và thấp trong các sản phẩm như NetWeaver, S/4HANA, Business Server Pages Application, BusinessObjects, Strategic Enterprise Management, Commerce Cloud, SAPUI5, Financial Consolidation, Incentive and Commission Management, và thư viện triển khai HANA Deployment Infrastructure (HDI).

Mặc dù SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này đang bị khai thác trong tự nhiên, người dùng vẫn được khuyên áp dụng các bản vá càng sớm càng tốt.

Các ghi chú bảo mật mới được phát hành chưa đầy hai tuần sau khi bốn gói NPM của SAP bị tiêm mã độc như một phần của cuộc tấn công chuỗi cung ứng Mini Shai-Hulud, ảnh hưởng đến hơn 1.800 nhà phát triển.