SAP vá lỗ hổng nghiêm trọng trong ABAP và các sản phẩm doanh nghiệp

SAP đã công bố 20 bản ghi chú bảo mật mới và được cập nhật như một phần của ngày vá lỗi bảo mật tháng 4 năm 2026.

SAP Security

Lỗ hổng nghiêm trọng nhất trong số các lỗi đã được khắc phục là CVE-2026-27681 (điểm CVSS 9.9), một lỗi SQL Injection tồn tại trong Business Planning and Consolidation và Business Warehouse có thể dẫn đến việc thực thi mã tùy ý.

"Chương trình ABAP bị lỗi cho phép người dùng có quyền hạn thấp tải lên một tệp chứa các câu lệnh SQL tùy ý và sau đó các câu lệnh này sẽ được thực thi," công ty bảo mật phần mềm Onapsis giải thích.

Theo Jonathan Stross, quản lý sản phẩm cấp cao của Pathlock, chức năng tải lên này có thể bị khai thác để lạm dụng cơ sở dữ liệu trực tiếp, cho phép kẻ tấn công đọc và can thiệp dữ liệu mà không cần sự tương tác của người dùng.

"Trong kịch bản tấn công tiềm năng, kẻ tấn công lạm dụng chức năng liên quan đến tải lên bị ảnh hưởng để chạy các câu lệnh SQL độc hại chống lại kho dữ liệu BW/BPC. Sau khi khai thác thành công, lỗ hổng có thể cho phép kẻ tấn công trích xuất dữ liệu tài chính nhạy cảm, thay đổi báo cáo, mô hình hoặc các số liệu hợp nhất, xóa hoặc làm hỏng nội dung cơ sở dữ liệu và gây ra gián đoạn lớn," ông Stross nói.

Theo Onapsis, SAP đã giải quyết vấn đề này bằng cách hoàn toàn vô hiệu hóa mã thực thi.

Các lỗ hổng khác

Vào thứ Ba, SAP cũng đã phát hành một bản ghi chú bảo mật giải quyết vấn đề kiểm tra quyền bị thiếu mức độ nghiêm trọng cao trong ERP và S/4 HANA. Được theo dõi dưới mã CVE-2026-34256, lỗi này có thể bị khai thác để thực thi một chương trình ABAP và ghi đè các chương trình thực thi hiện có có độ dài tám ký tự.

Trong số các bản ghi chú bảo mật còn lại, 16 bản (15 bản mới và 1 bản cập nhật) xử lý các lỗ hổng mức độ trung bình có thể dẫn đến lộ thông tin, từ chối dịch vụ (DoS), tấn công XSS, tiêm mã, chuyển hướng đến nội dung độc hại hoặc thực thi mã trong trình duyệt của nạn nhân.

Các lỗi này đã được vá trong BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit và HANA Database Explorer, Material Master Application và S4CORE.

Hai bản ghi chú còn lại giải quyết các lỗi tiêm mã mức độ thấp trong NetWeaver và Landscape Transformation.

SAP không đề cập đến bất kỳ lỗ hổng nào trong số này đang bị khai thác trong thực tế. Người dùng được khuyên áp dụng các bản ghi chú bảo mật càng sớm càng tốt.