Dans le cadre de son lot de correctifs de sécurité du mois de juin 2026, SAP a publié des solutions pour quinze vulnérabilités. Quatre de ces failles, jugées de gravité critique, touchent SAP NetWeaver et SAP Commerce Cloud.
NetWeaver constitue la plateforme applicative principale et la pile middleware de SAP. Elle sert de socle à de nombreuses applications métier de l’éditeur, comme les systèmes ERP, et elle gère des fonctions qui incluent le service d’applications, l’intégration, l’authentification et le traitement des données.
Commerce Cloud est une plateforme de commerce électronique pour les entreprises. Elle aide les organisations à construire et à gérer des boutiques en ligne, des canaux de vente numériques, des catalogues produits et des systèmes de gestion des commandes, que ce soit pour le commerce de détail ou inter-entreprises.
Le bulletin de sécurité de ce mois-ci présente les failles critiques suivantes, qui ont été corrigées :
- CVE-2026-44748 (CVSS 9.9) – Une faille de type « XML Signature Wrapping » dans SAP NetWeaver AS ABAP et la plateforme ABAP, qui pourrait contourner l’authentification dans les environnements basés sur SAML.
- CVE-2026-27671 (CVSS 9.8) – Une corruption de mémoire dans le serveur d’applications ABAP de SAP NetWeaver et de la plateforme ABAP.
- CVE-2026-22732 (CVSS 9.1) – Une vulnérabilité liée à Spring Security qui affecte SAP Commerce Cloud et SAP Data Hub.
- CVE-2026-40128 (CVSS 9.0) – Une faille de traversal de répertoire dans le conteneur web du serveur d’applications Java de SAP NetWeaver.
Pour la première faille, CVE-2026-44748, SAP indique que « SAP NetWeaver Application Server ABAP et la plateforme ABAP permettent à un attaquant authentifié disposant de privilèges normaux d’obtenir un message signé valide et d’envoyer des documents XML signés modifiés au vérificateur ». Cette situation peut amener le système à accepter des informations d’identité falsifiées, ce qui donne un accès non autorisé à des données utilisateur sensibles et peut perturber le fonctionnement normal.
Concernant CVE-2026-27671, un attaquant peut l’exploiter sans être authentifié. Il lui suffit d’envoyer des requêtes RFC spécialement conçues vers des points d’extrémité vulnérables, ce qui tire parti d’une validation incorrecte du noyau pour provoquer une corruption de la mémoire.
En plus de ces problèmes critiques, l’éditeur a résolu deux vulnérabilités de gravité élevée. Il s’agit de CVE-2026-29145, qui regroupe plusieurs failles d’Apache Tomcat affectant Commerce Cloud, et de CVE-2026-44751, qui est un problème d’absence de vérification d’autorisation dans NetWeaver AS ABAP.
La société allemande de logiciels d’entreprise a aussi corrigé différentes vulnérabilités réparties sur plusieurs de ses produits, notamment des injections SQL, des traversées de chemin, des failles de type cross-site scripting (XSS), des usurpations d’adresse email et des contournements d’autorisation.
Les détails complets sur ces failles, ainsi que les conseils d’atténuation ou les solutions de contournement, sont uniquement accessibles aux clients SAP qui possèdent un compte sur le portail sécurité de l’éditeur.
Les organisations qui utilisent les produits concernés doivent donner la priorité à l’application des correctifs. Cette priorité est particulièrement nécessaire pour la faille d’authentification SAML (CVE-2026-44748) et pour le problème de corruption de mémoire (CVE-2026-27671), car leur niveau de sévérité est très élevé et leur impact sur les environnements d’entreprise pourrait être grave.