
O pacote de segurança de julho de 2026 resolve vulnerabilidades de corrupção de memória no núcleo ABAP, além de falhas de HTTP smuggling e uso de credenciais padrão em sistemas de comércio e roteamento.
| Componente | SAP NetWeaver Application Server ABAP, SAP Approuter, SAP Commerce Cloud |
| Vetor | Escrita fora dos limites na memória (out-of-bounds write) por atacante autenticado, contrabando de requisições HTTP e uso de credenciais padrão em clientes OAuth 2.0 de exemplo. |
| Impacto | Corrupção de memória levando a indisponibilidade, acesso não autorizado, modificação de dados, exposição de respostas de usuários e negação de serviço. |
| Prioridade | Aplicação imediata do patch do kernel ABAP e auditoria para remoção de clientes OAuth de exemplo em ambientes de produção. |
A SAP liberou atualizações de segurança referentes ao mês de julho de 2026, abordando múltiplas falhas em seus produtos corporativos. O destaque principal é a correção de uma vulnerabilidade crítica classificada com pontuação CVSS 9.9 no SAP NetWeaver Application Server ABAP, identificada como CVE-2026-44747. Está falha representa um risco significativo devido à sua capacidade de permitir que um atacante autenticado cause corrupção de memória, potencialmente levando à exposição ou alteração de dados sensíveis, além de causar indisponibilidade do sistema.
Além da falha no núcleo ABAP, o ciclo de atualização inclui correções para outras duas vulnerabilidades críticas. Uma delas (CVE-2026-27690) afeta o componente SAP Approuter em ambientes que não operam sobre Cloud Foundry, permitindo ataques de HTTP request smuggling. A terceira falha relevante (CVE-2026-44761) atinge o SAP Commerce Cloud e está relacionada ao uso de credenciais padrão documentadas em scripts de configuração de exemplo, que podem ser exploradas por atacantes não autenticados para obter acesso total via tokens OAuth 2.0.
A vulnerabilidade CVE-2026-44747 no SAP NetWeaver AS ABAP é classificada como uma falha de escrita fora dos limites (out-of-bounds write). O problema reside em erros lógicos no gerenciamento de memória do sistema. Um atacante que já possua credenciais válicas no ambiente pode explorar essas inconsistências para corromper estruturas de memória. A exploração bem-sucedida dessa falha pode quebrar岛屿 isolamento de processos ou controles de acesso na memória, permitindo a leitura de informações confidenciais, a modificação não autorizada de registros ou a interrupção dos serviços do aplicativo devido a travamentos no kernel.
No caso da CVE-2026-27690, o problema ocorre no SAP Approuter quando implantado fora do ambiente Cloud Foundry. A falha permite o contrabando de requisições e respostas HTTP (HTTP request/response smuggling). Um atacante não autenticado pode enviar requisições HTTP especialmente craftadas para causar uma dessincronização entre a interpretação da requisição pelo front-end e pelo servidor de back-end. Isso pode resultar na exposição de respostas destinadas a outros usuários (cache poisoning ou response splitting) e na indução de ataques de negação de serviço (DoS), interrompendo a disponibilidade do roteador.
A falha CVE-2026-44761 no SAP Commerce Cloud explora uma má prática herdada de documentação técnica. A issue deriva de scripts de configuração de exemplo anteriormente disponibilizados no portal de ajuda da SAP. Estes scripts configuram clientes OAuth 2.0 com credenciais codificadas (hard-coded) e públicas. Se um cliente executou esses scripts de exemplo em ambiente de produção e manteve o cliente OAuth 2.0 resultante sem substituir o segredo padrão, um atacante pode utilizar essas credenciais conhecidas publicamente para solicitar um token de acesso válido. Com este token, o invasor pode invocar APIs específicas para ler e alterar dados do sistema, com alto impacto na confidencialidade e integridade, sem precisar de autenticação prévia.
A superfície de ataque abrange instâncias do SAP NetWeaver Application Server ABAP que não estejam executando a versão mais recente do kernel ABAP. A falha de memória é acessível a qualquer usuário autenticado, o que inclui contas de serviço ou usuários com baixos privilégios iniciais que possam escalar o ataque através da corrupção de memória.
Implementações do SAP Approuter que rodam em infraestrutura própria ou ambientes não gerenciados pelo Cloud Foundry são suscetíveis ao ataque de smuggling. Da mesma forma, instalações do SAP Commerce Cloud que passaram por processos de configuração ou atualização utilizando scripts copiados da documentação oficial, sem a devida higiene de segurança na troca de segredos, estão expostas ao sequestro de identidade via OAuth 2.0. Clientes que removeram o cliente de exemplo ou rotacionaram o segredo não são afetados por este vetor específico.
- SAP NetWeaver Application Server ABAP (versões com kernel anterior ao patch de julho de 2026).
- SAP Approuter em implantações fora do Cloud Foundry.
- SAP Commerce Cloud com clientes OAuth 2.0 de exemplo ativos em produção.
Equipes de segurança devem auditar os logs de transação e erros do SAP NetWeaver em busca de sinais de corrupção de memória ou travamentos inexplicáveis do kernel, que podem indicar tentativas de exploração da CVE-2026-44747. Para o SAP Approuter, é necessário inspecionar tráfego de entrada em busca de anomalias em cabeçalhos HTTP, Content-Length conflitantes ou tentativas de dessincronização de requisição, padrões típicos de ataques de smuggling.
A auditoria para a CVE-2026-44761 deve focar no inventário de aplicações e configurações de identidade. Os administradores devem varrer o sistema em busca de clientes OAuth 2.0 que correspondam aos identificadores (client IDs) conhecidos dos scripts de exemplo da SAP. A presença de segredos que coincidam com os valores documentados publicamente em manuais antigos é um indicador definitivo de comprometimento potencial ou configuração insegura ativa.
- Verificação de dumps de memória e logs de sistema do ABAP Kernel para erros de proteção.
- Análise de logs de acesso web do Approuter buscando requisições malformadas ou duplicadas.
- Levantamento de todos os clientes OAuth 2.0 no SAP Commerce Cloud e validação de segredos contra listas de credenciais padrão conhecidas.
A ação corretiva definitiva para a falha CVE-2026-44747 é a instalação da versão atualizada do kernel ABAP fornecida pelo patch de segurança de julho de 2026. Existe uma solução alternativa temporária proposta que envolve a desativação de todos os nós ICF (Internet Communication Framework) com uma propriedade específica através da transação SICF. No entanto, essa medida tem impacto operacional severo, pois desabilita a abertura de transações via SAP GUI para HTML. Por esse motivo, a workaround não é viável para todos os clientes e o patch do kernel é estritamente recomendado.
Para mitigar a CVE-2026-44761 no SAP Commerce Cloud, a resposta exigida é a remoção imediata de qualquer cliente OAuth 2.0 que tenha sido criado a partir de scripts de exemplo. Se a funcionalidade fornecida por esse cliente for necessária, ele deve ser recriado com um segredo forte e único, garantindo que não sejam utilizadas as credenciais públicas da documentação. Não há evidências, até o momento, de que essas falhas estejam sendo exploradas ativamente na natureza, mas a aplicação das correções é prioritária para evitar exposições.
- Aplicar o patch de segurança do ABAP Kernel para resolver a escrita fora dos limites.
- Evitar a desativação de nós ICF se possível, devido à perda de funcionalidade do SAP GUI para HTML.
- Auditar e deletar clientes OAuth de exemplo no SAP Commerce Cloud ou rotacionar segredos imediatamente.
- Revisar documentações internas para garantir que scripts de exemplo não sejam implantados em produção.
0 Comentários