-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in SAP producten
Advisory ID     : NCSC-2026-0006
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2026-0491, CVE-2026-0492, CVE-2026-0493,
                  CVE-2026-0494, CVE-2026-0497, CVE-2026-0498,
                  CVE-2026-0499, CVE-2026-0500, CVE-2026-0501,
                  CVE-2026-0503, CVE-2026-0504, CVE-2026-0506,
                  CVE-2026-0507, CVE-2026-0510, CVE-2026-0511,
                  CVE-2026-0513, CVE-2026-0514
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Special Elements used in an
                  OS Command ('OS Command Injection')
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Improper Neutralization of Special Elements used in an
                  SQL Command ('SQL Injection')
                  Improper Control of Generation of Code ('Code
                  Injection')
                  Missing Authentication for Critical Function
                  Inadequate Encryption Strength
                  Cross-Site Request Forgery (CSRF)
                  Exposure of Sensitive System Information to an
                  Unauthorized Control Sphere
                  URL Redirection to Untrusted Site ('Open Redirect')
                  Missing Authorization
                  Improper Neutralization of Special Elements in Data
                  Query Logic
Uitgiftedatum   : 20260113
Toepassing      : SAP Application Server for ABAP and NetWeaver RFCSDK
                  SAP Business Server Pages Application
                  SAP ERP Central Component and S4HANA
                  SAP Fiori App
                  SAP HANA Database
                  SAP Identity Management
                  SAP Landscape Transformation
                  SAP NW AS Java UME User Mapping
                  SAP NetWeaver Application Server ABAP and ABAP
                  Platform
                  SAP NetWeaver Enterprise Portal
                  SAP S4HANA
                  SAP S4HANA Private Cloud and On-Premise
                  SAP SAP NetWeaver Application Server ABAP and ABAP
                  Platform
                  SAP SAP NetWeaver Enterprise Portal
                  SAP SAP Software
                  SAP Supplier Relationship Management
                  SAP Wily Introscope Enterprise Manager
Versie(s)       :
Platform(s)     :

Beschrijving
   SAP heeft kwetsbaarheden verholpen in SAP S/4HANA (Private Cloud en
   On-Premise), SAP Wily Introscope Enterprise Manager, SAP Landscape
   Transformation, SAP HANA, SAP Application Server voor ABAP, SAP
   NetWeaver, SAP ECC, SAP Fiori App voor Intercompany Balance
   Reconciliation, SAP NetWeaver Application Server ABAP, SAP Business
   Connector, SAP Supplier Relationship Management, SAP Identity
   Management, en SAP User Management Engine.

   De kwetsbaarheden variëren van SQL-injectie en OS-commando-injectie
   tot privilege-escalatie en Cross-Site Scripting (XSS). Aanvallers
   kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te
   verkrijgen, gegevensintegriteit in gevaar te brengen, of zelfs
   volledige systeemcompromittering te veroorzaken. De impact op de
   vertrouwelijkheid, integriteit en beschikbaarheid van de systemen is
   aanzienlijk, vooral voor producten zoals SAP S/4HANA en SAP HANA,
   waar aanvallers met admin-rechten schadelijke ABAP-code kunnen
   injecteren. Andere kwetsbaarheden, zoals onvoldoende
   autorisatiecontroles in SAP Fiori Apps, kunnen leiden tot privilege-
   escalatie en ongeautoriseerde toegang tot gevoelige informatie.

Mogelijke oplossingen
   SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://support.sap.com/en/my-support/knowledge-base/security-
      notes-news/january-2026.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=rajm
-----END PGP SIGNATURE-----