Patch Day de junho de 2026 corrige quatro falhas críticas em SAP NetWeaver, Commerce Cloud e S/4HANA

Hydra Corp junho 09, 2026
Patch Day de junho de 2026 corrige quatro falhas críticas em SAP NetWeaver, Commerce Cloud e S/4HANA

O ciclo de 9 de junho entrega 15 notas de segurança, incluindo falhas SAML com CVSS 9,9, corrupção de memória RFC sem autenticação e traversal em contêiner Java

ComponenteSAP NetWeaver AS ABAP/ABAP Platform (SAML, kernel RFC, autorização), SAP NetWeaver AS Java Web Container ENGINEAPI 7.50, SAP Commerce Cloud, SAP Data Hub, SAP S/4HANA (S4FND 102–109) e Tomcat embutido em Commerce Cloud
VetorWrapping de assinatura XML SAML com atacante autenticado de baixo privilégio; requisições RFC especialmente construídas sem credenciais; falha Spring Security explorável remotamente sem interação; directory traversal via contêiner Java; SQL injection autenticada; XSS refletido no servlet JDBC Test; bundle Tomcat sem autenticação; verificação de autorização ausente em ABAP
ImpactoAceitação de identidade adulterada, escalonamento de privilégio e acesso não autorizado a dados sensíveis (SAML); comprometimento de confidencialidade, integridade e disponibilidade via corrupção de memória no kernel ABAP; impacto remoto não autenticado em confidencialidade e integridade (Spring Security); acesso a recursos sensíveis por traversal; consulta a conteúdo de banco via SQL injection; integridade elevada e disponibilidade parcial em falha de autorização
PrioridadeAplicar imediatamente as notas para CVE-2026-44748, CVE-2026-27671, CVE-2026-22732 e CVE-2026-40128; em seguida CVE-2026-29145 e CVE-2026-44751; agendar demais correções no ciclo mensal, com foco em SQL injection S/4HANA e XSS Java
VersõesSAP_BASIS 702–919 (SAML); SAP_BASIS 700–816 (autorização); kernel ABAP KRNL64NUC/KRNL64UC/KERNEL 7.22–9.19; ENGINEAPI 7.50; HY_COM 2205 e COM_CLOUD 2211; S4FND 102–109
MitigaçãoPatches via SAP Support Portal; workaround temporário desabilitar autenticação SAML para CVE-2026-44748, com limitação em outros usos de XML assinado; atualizar Commerce Cloud, Data Hub e NetWeaver Java conforme notas do ciclo
Resumo técnico

A SAP conduziu o Security Patch Day de junho de 2026 na terça-feira, 9 de junho, publicando 15 novas notas de segurança que cobrem produtos centrais do ecossistema corporativo. Quatro dessas falhas recebem classificação crítica e exigem tratamento imediato em ambientes que dependem de NetWeaver, Commerce Cloud, Data Hub e S/4HANA. A empresa orienta clientes a consultar o SAP Support Portal e aplicar as correções com prioridade elevada sobre toda a paisagem SAP instalada.

O conjunto crítico concentra riscos distintos: manipulação de identidade federada via SAML, execução remota não autenticada contra o kernel ABAP por meio do protocolo RFC, exploração remota sem interação em componentes Spring Security e traversal de diretório no contêiner web Java. Além dessas quatro entradas, o ciclo inclui duas notas de alta prioridade ligadas a Tomcat embutido e verificação de autorização ausente, além de correções de severidade média e baixa que ainda merecem encaixe no processo mensal de gestão de patches.

Fluxo técnico

A falha mais grave do ciclo, identificada como CVE-2026-44748 com pontuação CVSS 9,9, trata de XML Signature Wrapping na autenticação SAML em SAP NetWeaver AS ABAP e ABAP Platform. Um atacante autenticado com privilégios baixos pode obter uma mensagem assinada válida e retransmitir documentos XML modificados ao verificador. Esse desvio permite que informações de identidade adulteradas sejam aceitas, abrindo caminho para acesso não autorizado a dados sensíveis de usuários e escalonamento de privilégio entre sistemas empresariais interligados. A superfície de versões afetadas é ampla: ramos SAP_BASIS de 702 a 919.

CVE-2026-27671, com CVSS 9,8, atinge o kernel do Application Server ABAP por validação incorreta do protocolo RFC. Diferentemente do caso SAML, não exige autenticação prévia: um atacante remoto envia requisições RFC especialmente construídas que exploram erros lógicos no gerenciamento de memória, com potencial de comprometer confidencialidade, integridade e disponibilidade do servidor de aplicação. Componentes citados incluem múltiplas linhas KRNL64NUC, KRNL64UC e KERNEL, com orientação de correção abrangendo versões de kernel de 7.22 a 9.19.

CVE-2026-22732, pontuada em 9,1, corrige uma vulnerabilidade em Spring Security presente em SAP Commerce Cloud e SAP Data Hub. Atacantes remotos não autenticados podem afetar confidencialidade e integridade sem interação do usuário, o que eleva a urgência em instâncias expostas à internet ou acessíveis por parceiros e integrações B2B. CVE-2026-40128, com CVSS 9,0, é uma falha de directory traversal no SAP NetWeaver Application Server Java Web Container, especificamente ENGINEAPI 7.50. Um atacante com acesso de rede pode percorrer estruturas de diretório para alcançar recursos sensíveis, com impacto elevado sobre confidencialidade, integridade e disponibilidade.

Entre as notas de alta prioridade, CVE-2026-29145 (CVSS 7,4) agrupa múltiplas vulnerabilidades do Apache Tomcat embutido, incluindo CVE-2025-66614 e CVE-2026-24734, em SAP Commerce Cloud nas versões HY_COM 2205 e COM_CLOUD 2211. Atacantes não autenticados podem explorar fraquezas do servidor Tomcat integrado. CVE-2026-44751 (CVSS 7,1) corrige ausência de verificação de autorização em NetWeaver AS ABAP e ABAP Platform, afetando SAP_BASIS de 700 a 816; um atacante de rede com baixo privilégio pode alcançar alto impacto de integridade e perturbação parcial de disponibilidade.

No tier inferior, CVE-2026-44744 (CVSS 6,5) descreve SQL injection em SAP S/4HANA, permitindo que atacantes autenticados de baixo privilégio consultem conteúdo sensível do banco por meio de entradas especialmente construídas, com versões S4FND de 102 a 109 no escopo. CVE-2026-44746 trata de XSS refletido no JDBC Test Servlet do NetWeaver. CVE-2025-68161, advisory relacionada ao Log4j em NetWeaver AS Java, reforça que bibliotecas de terceiros continuam introduzindo risco residual mesmo após ciclos anteriores de remediação.

Superficie afetada

Organizações com landscapes SAP heterogêneos — ERP central, portal Java, commerce digital e hubs de dados — devem mapear cada nota contra sistemas productivos, sandboxes e ambientes de integração que replicam versões productivas. A combinação de falhas autenticadas e não autenticadas exige revisão tanto de superfícies expostas à internet quanto de segmentos internos onde credenciais de baixo privilégio são comuns.

A amplitude de ramos SAP_BASIS e de kernels ABAP indica que ambientes legados e releases recentes podem compartilhar a mesma classe de risco, especialmente onde SAML permanece habilitado para SSO corporativo ou integrações com provedores de identidade externos.

  • NetWeaver AS ABAP/ABAP Platform: SAML (SAP_BASIS 702–919), autorização ausente (SAP_BASIS 700–816), kernel RFC (KRNL64NUC, KRNL64UC, KERNEL 7.22–9.19)
  • NetWeaver AS Java: contêiner web ENGINEAPI 7.50 (directory traversal), JDBC Test Servlet (XSS refletido), componentes AS Java com dependência Log4j (CVE-2025-68161)
  • SAP Commerce Cloud HY_COM 2205 e COM_CLOUD 2211: Spring Security (CVE-2026-22732) e bundle Tomcat com CVE-2025-66614 e CVE-2026-24734
  • SAP Data Hub: componente Spring Security associado a CVE-2026-22732
  • SAP S/4HANA S4FND 102–109: SQL injection autenticada (CVE-2026-44744)
Hunting e telemetria

Equipes de detecção devem correlacionar sinais de autenticação federada, tráfego RFC anômalo e acessos a caminhos de arquivo incomuns no tier Java. Como várias falhas críticas não exigem credenciais válidas, monitoramento perimetral e inspeção de protocolos SAP precisam preceder a confiança em controles baseados apenas em identidade.

Para SAML, procure sequências em que asserções ou documentos XML assinados apresentem discrepâncias entre conteúdo declarado e atributos efetivamente autorizados após verificação, além de picos de falhas de validação seguidos de sessões elevadas. Em RFC, alertas de corrupção de memória, reinícios abruptos de work processes ABAP, dumps de kernel e requisições RFC de origens não esperadas — especialmente antes de patch — indicam tentativa de exploração da CVE-2026-27671.

No Commerce Cloud e Data Hub, monitore tentativas de acesso remoto a endpoints Spring Security sem sessão prévia, códigos de resposta inconsistentes com fluxos de negócio e tráfego para rotas administrativas. No contêiner Java ENGINEAPI 7.50, busque padrões de path traversal em URLs HTTP, tentativas de leitura fora do document root e acessos a arquivos de configuração ou credenciais armazenadas localmente.

Para S/4HANA, análise consultas SQL ou chamadas de aplicação originadas de contas de baixo privilégio que retornam volumes ou campos atípicos. No Tomcat embutido, correlacione scans de vulnerabilidades conhecidas de servlet container com versões HY_COM/COM_CLOUD ainda não corrigidas.

  • Autenticação SAML: falhas de assinatura XML, alterações súbitas de roles após login federado, divergência entre identidade declarada e perfil efetivo
  • Kernel ABAP/RFC: dumps de memória, reinícios de instâncias, RFC de hosts não inventariados ou fora da janela de manutenção
  • Java/Commerce: requisições com sequências de traversal, XSS refletido no JDBC Test Servlet, exploração de endpoints Tomcat sem autenticação
  • S/4HANA: queries anômalas originadas de usuários com perfil restrito após entradas manipuladas na camada de aplicação
Mitigação

A ordem de resposta recomendada espelha a gravidade e a exposição típica dos componentes. Primeiro, aplique imediatamente a correção SAML da CVE-2026-44748 em todos os sistemas ABAP dentro dos ramos SAP_BASIS indicados. Como medida temporária, a autenticação SAML pode ser desabilitada, embora essa ação não cubra todos os cenários de uso de XML assinado — equipes devem documentar dependências de SSO antes de qualquer desligamento.

Em paralelo ou logo na sequência, patch completo dos kernels ABAP afetados para eliminar o vetor RFC não autenticado da CVE-2026-27671, seguido de atualização de SAP Commerce Cloud, SAP Data Hub e NetWeaver Java ENGINEAPI 7.50 para fechar CVE-2026-22732 e CVE-2026-40128. A nota Tomcat CVE-2026-29145 deve ser aplicada nas instâncias Commerce Cloud identificadas, e CVE-2026-44751 tratada em todos os ABAP dentro de SAP_BASIS 700–816.

Demais notas de severidade média e baixa — incluindo SQL injection em S/4HANA, XSS no servlet JDBC e advisory Log4j — devem entrar no ciclo mensal estruturado, mas com priorização explícita onde S/4HANA processa dados sensíveis ou onde o tier Java permanece acessível a usuários amplos. O Security Patch Day ocorre na segunda terça-feira de cada mês; após este ciclo, monitore o portal de Security Notes para eventuais atualizações fora de banda.

Validação pós-patch deve incluir teste de login SAML em ambiente representativo, verificação de versão de kernel e ENGINEAPI, confirmação de build Commerce Cloud atualizado e revisão de permissões ABAP para garantir que controles de autorização da CVE-2026-44751 estejam efetivos. Inventário atualizado de sistemas, responsáveis e janelas de manutenção reduz o risco de sistemas satellite permanecerem vulneráveis enquanto o núcleo ERP já foi corrigido.

  • CVE-2026-44748: aplicar fix SAML imediatamente; desabilitar SAML apenas como workaround temporário documentado
  • CVE-2026-27671: atualizar kernels ABAP 7.22–9.19 conforme nota oficial
  • CVE-2026-22732 e CVE-2026-40128: atualizar Commerce Cloud, Data Hub e NetWeaver Java ENGINEAPI 7.50
  • CVE-2026-29145: aplicar bundle Tomcat em HY_COM 2205 e COM_CLOUD 2211
  • Notas restantes: agendar SQL injection S/4HANA, XSS Java e advisory Log4j no ciclo mensal com prioridade por exposição de dados
Tags

Postar um comentário

0 Comentários