Bollettino 113/2026

descrizione

SAP ha rilasciato aggiornamenti che correggono vulnerabilità in molteplici componenti della piattaforma, con profili di rischio eterogenei.

Le vulnerabilità di priorità critica riguardano tre componenti distinti: un memory corruption per stack-based buffer overflow nel SAP Kernel (RFC protocol handling) di NetWeaver AS ABAP e ABAP Platform (CVE-2026-27671, CVSS 10); un XML Signature Wrapping nell'autenticazione SAML dello stesso stack AS ABAP (CVE-2026-44748, CVSS 10, CWE-347, scope Changed); un path traversal nel Web Container di NetWeaver AS Java tramite manipolazione di parametri di file inclusion in richiesta HTTP di logon (CVE-2026-40128, CVSS 9, CWE-35).

Le vulnerabilità di priorità high comprendono: mancata scrittura degli HTTP security header in Spring Security per applicazioni servlet con lazy writing (CVE-2026-22732, CWE-425); soft-fail OCSP improprio in CLIENT_CERT authentication su Apache Tomcat e Tomcat Native (CVE-2026-29145, CWE-287); SQL injection in function module remoto di SAP S/4HANA (CVE-2026-44744, CWE-89); missing authorization in AS ABAP per esecuzione di report con sovrascrittura dati altrui (CVE-2026-44751, CWE-862); missing caller identification negli RFC modules ODP-RFC (CVE-2026-44754, CWE-862); reflected XSS in NetWeaver AS Java JDBC Test Servlet (CVE-2026-44746, CWE-79); XSS in SAP Wily Introscope Enterprise Manager (CVE-2026-44757, CWE-79); missing TLS hostname verification nel Socket Appender di Apache Log4j Core (CVE-2025-68161, CWE-297).

Le vulnerabilità di priorità medium e low includono path traversal in SAP Fiori Launchpad (CVE-2026-24315), information disclosure in SAP Business Objects (CVE-2026-44743), missing authorization in SAP MDG (CVE-2026-44750) ed email spoofing in SAP Business Objects BI Platform (CVE-2026-44755).

note

Le tre CVE a priorità critical richiedono attenzione immediata per la combinazione di CVSS massimale e vettore di attacco.

CVE-2026-27671 (CVSS 10, AV:N/AC:L/PR:N/UI:N/S:U): sfruttabile remotamente senza autenticazione né interazione utente, con complessità bassa. Il difetto risiede nella validazione del protocollo RFC nel SAP Kernel; l'errore logico nella gestione della memoria (CWE-121, stack-based buffer overflow) produce corruzione di memoria. Impatto CIA completo. Componenti affetti: KRNL64UC, KRNL64NUC, KERNEL a partire dalla versione 7.22, più release 91.9, 9.18, 9.16, 722EXT, 7.93, 7.89, 7.77, 7.54, 7.53, 7.22EXT.

CVE-2026-44748 (CVSS 10, AV:N/AC:L/PR:L/UI:N/S:C): richiede un attaccante autenticato con privilegi standard, ma lo scope è Changed — l'impatto si estende oltre il processo corrente. Il meccanismo XML Signature Wrapping (CWE-347) consente l'invio di documenti XML firmati modificati al verificatore SAML. Impatto CIA completo. Componenti affetti: SAP_BASIS dalla versione 702 a 919.

CVE-2026-40128 (CVSS 9, AV:N/AC:H/PR:N/UI:N/S:C): vettore remoto senza autenticazione, complessità alta, scope Changed. Path traversal (CWE-35) tramite manipolazione dei parametri di file inclusion nella richiesta HTTP di logon al Web Container di NetWeaver AS Java. Impatto CIA completo. Componente affetto: ENGINEAPI 7.50.

Tra le CVE high, CVE-2026-22732 (Spring Security, AV:N/AC:L/PR:N/UI:N) impatta applicazioni servlet che usano lazy writing degli HTTP header nelle versioni 5.7.x, 5.8.x, 6.3.x, 6.4.x, 6.5.x e 7.0.x; la CWE-425 indica che le protezioni basate su header possono essere bypassate da richieste dirette. CVE-2026-29145 (Apache Tomcat/Tomcat Native, AV:N/AC:L/PR:N/UI:N) colpisce CLIENT_CERT authentication con soft-fail OCSP non correttamente disabilitabile; versioni affette: Tomcat 9.0.83–9.0.115, 10.1.0–10.1.52, 11.0.0–11.0.19; Tomcat Native 1.1.23–1.3.6 e 2.0.0–2.0.13.

CVE-2026-44744 (SAP S/4HANA, AV:N/AC:L/PR:L/UI:N/S:U): SQL injection in function module remote-enabled, richiede autenticazione con privilegi bassi; impatto sulla sola confidenzialità. Versioni S4FND dalla 102 alla 109.

CVE-2026-44751 (AS ABAP, AV:N/AC:L/PR:L/UI:N/S:U): missing authorization (CWE-862) consente a utente autenticato l'esecuzione di report con sovrascrittura di dati di altri utenti; impatto su integrità e disponibilità parziale. CVE-2026-44754 (ODP-RFC, AV:N/AC:H/PR:H/UI:N/S:C): missing caller identification negli RFC modules ODP-RFC, scope Changed; richiede privilegi elevati e alta complessità. Impatto su confidenzialità e disponibilità parziale.

Le due XSS (CVE-2026-44746 su NetWeaver AS Java JDBC Test Servlet, AV:N/AC:L/PR:N/UI:R/S:C; CVE-2026-44757 su SAP Wily Introscope, AV:N/AC:H/PR:N/UI:R/S:C) sono entrambe reflected con scope Changed, ma richiedono interazione utente.

CVE-2025-68161 (Apache Log4j Core, CVSS 4.0 score 6.3, AV:N/AC:H/AT:N/PR:N/UI:N): assenza di verifica TLS hostname nel Socket Appender (CWE-297) anche quando esplicitamente configurata; impatto limitato a confidenzialità locale e integrità del sistema secondario. Versioni affette: 2.0-beta9 fino a 2.25.2 e 3.0.0-alpha1 fino a 3.0.0-beta3.

Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.

CVE

CVE	CVSS	EPSS	priority
CVE-2026-40128	3.1: 9.0	0.100% \| 27.22%	critical
CVE-2026-44748	3.1: 10.0	0.046% \| 14.55%	critical
CVE-2026-27671	3.1: 10.0	0.042% \| 13.04%	critical
CVE-2026-29145	3.1: 9.0	0.028% \| 8.59%	high
CVE-2026-22732	3.1: 9.0	0.028% \| 8.50%	high
CVE-2026-44746	3.1: 6.0	0.093% \| 25.98%	high
CVE-2026-44751	3.1: 7.0	0.036% \| 10.90%	high
CVE-2026-44754	3.1: 7.0	0.035% \| 10.77%	high
CVE-2026-44744	3.1: 7.0	0.026% \| 7.72%	high
CVE-2026-44757	3.1: 5.0	0.055% \| 17.55%	high
CVE-2025-68161	4.0: 6.3	0.029% \| 8.91%	high
CVE-2026-24315	3.1: 4.0	0.030% \| 9.03%	medium
CVE-2026-44743	3.1: 4.0	0.028% \| 8.27%	medium
CVE-2026-44750	3.1: 4.0	0.026% \| 7.91%	medium
CVE-2026-44755	3.1: 4.0	0.014% \| 2.82%	low

NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).

tipi di attacco

CWE	descrizione
CWE-297	Improper Validation of Certificate with Host Mismatch
CWE-347	Improper Verification of Cryptographic Signature
CWE-121	Stack-based Buffer Overflow
CWE-425	Direct Request ('Forced Browsing')
CWE-35	Path Traversal: '.../...//'
CWE-287	Improper Authentication
CWE-862	Missing Authorization
CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
CWE-346	Origin Validation Error
CWE-497	Exposure of Sensitive System Information to an Unauthorized Control Sphere

prodotti impattati

vendor	prodotto & versioni
sap	odp data replication apis Da: SAP_BW 750 Da: PI_BASIS 2006_1_700 Da: DW4CORE 200 Da: 816 Da: 740 Da: 731 Da: 702 Da: 701 Da: 400 Da: 300 sap business objects Da: ENTERPRISE 430 Da: 2027 Da: 2025 sap business objects business intelligence platform Da: ENTERPRISE 430 Da: 2027 Da: 2025 sap fiori (launchpad) Da: SAP_UI 754 Da: 816 Da: 758 Da: 757 Da: 756 Da: 755 sap mdg (review match groups application) Da: SAP_BASIS 917 Da: SAP_BASIS 916 Da: SAP_ABA 816 Da: S4CORE 108 sap netweaver application server java (web container) Da: ENGINEAPI 7.50 sap netweaver as abap and abap platform Da: SAP_BASIS 919 Da: SAP_BASIS 918 Da: SAP_BASIS 816 Da: SAP_BASIS 758 Da: SAP_BASIS 757 Da: SAP_BASIS 756 Da: SAP_BASIS 755 Da: SAP_BASIS 754 Da: SAP_BASIS 753 Da: SAP_BASIS 752 Da: SAP_BASIS 751 Da: SAP_BASIS 750 Da: SAP_BASIS 740 Da: SAP_BASIS 731 Da: SAP_BASIS 702 Da: SAP_BASIS 701 Da: SAP_BASIS 700 Da: KRNL64UC 7.22 Da: KRNL64NUC 7.22 Da: KERNEL 7.22 Da: 91.9 Da: 9.18 Da: 9.16 Da: 722EXT Da: 7.93 Da: 7.89 Da: 7.77 Da: 7.54 Da: 7.53 Da: 7.22EXT sap netweaver as java (jdbc test servlet) Da: BI_UDI 7.50 sap s/4hana Da: S4FND 102 Da: 109 Da: 108 Da: 107 Da: 106 Da: 105 Da: 104 Da: 103 sap wily introscope enterprise manager Da: WILY_INTRO_ENTERPRISE 10.8

vendor

prodotto & versioni

sap

odp data replication apis