-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in SAP producten Advisory ID : NCSC-2026-0052 Versie : 1.00 Kans : medium CVE ID : CVE-2025-0059, CVE-2025-12383, CVE-2026-0484, CVE-2026-0485, CVE-2026-0486, CVE-2026-0488, CVE-2026-0490, CVE-2026-0505, CVE-2026-0508, CVE-2026-0509, CVE-2026-23681, CVE-2026-23684, CVE-2026-23685, CVE-2026-23686, CVE-2026-23687, CVE-2026-23688, CVE-2026-23689, CVE-2026-24312, CVE-2026-24319, CVE-2026-24320, CVE-2026-24321, CVE-2026-24322, CVE-2026-24323, CVE-2026-24324, CVE-2026-24325, CVE-2026-24326, CVE-2026-24327, CVE-2026-24328 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') Improper Following of a Certificate's Chain of Trust Cleartext Storage of Sensitive Information in Memory Improper Verification of Cryptographic Signature Exposure of Private Personal Information to an Unauthorized Actor Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') Race Condition within a Thread Asymmetric Resource Consumption (Amplification) Exposure of Sensitive System Information to an Unauthorized Control Sphere Deserialization of Untrusted Data URL Redirection to Untrusted Site ('Open Redirect') Unchecked Input for Loop Condition Missing Authorization CWE-937 CWE-1035 Uitgiftedatum : 20260210 Toepassing : SAP ABAP SAP Business One SAP Business Server Pages Application SAP Business Workflow SAP BusinessObjects BI Platform SAP BusinessObjects Business Intelligence Platform SAP BusinessObjects Enterprise SAP CRM and S4HANA SAP Commerce Cloud SAP Document Management System SAP Fiori App SAP NetWeaver SAP NetWeaver AS ABAP and ABAP Platform SAP NetWeaver Application Server ABAP and ABAP Platform SAP NetWeaver Application Server ABAP and S-4HANA SAP NetWeaver Application Server Java SAP NetWeaver and ABAP Platform SAP S4HANA Defense & Security SAP SAP Software SAP Solution Tools Plug-In SAP Strategic Enterprise Management SAP Supply Chain Management SAP Support Tools Plug-In Versie(s) : Platform(s) : Beschrijving SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP CRM, SAP S/4HANA, SAP NetWeaver Application Server ABAP, SAP Supply Chain Management, SAP BusinessObjects BI Platform, SAP Document Management System, SAP Commerce Cloud, en SAP Business Workflow. De kwetsbaarheden omvatten onder andere code-injectie, ontbrekende autorisatiecontroles, Denial of Service, en onjuist beheer van gevoelige informatie. Geauthenticeerde aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen, gegevensintegriteit te compromitteren, en systeemfunctionaliteit te verstoren. Specifieke kwetsbaarheden kunnen leiden tot ongeautoriseerde SQL-instructies, manipulatie van XML-documenten, en privilege-escalatie. De impact varieert van risico's voor vertrouwelijkheid en integriteit tot verstoring van systeemdiensten. Mogelijke oplossingen SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://support.sap.com/en/my-support/knowledge-base/security- notes-news/february-2026.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmmLJTsACgkQgupWoL0Z hGEx8wv/c1u8szFTJ1oB30wWA8hjh2dN56TwuEsLHEtn1M+9tdg7Tm6BC9jVMF4/ REIazcBFtYOBcPQXu5UIk9ddkX/vescJIjPZQeiayCvGsO1FCYQ+J52N/eYsQLSJ 8tvOfIfQkR5QNX5GNhfB9x52vpbtIeNdZWec08tMYd1LieKzujwEALOJpT+oMUuA sg7BHbk/BiINBPbCnAELlnY3eZdVpaaQvWFHwfL/z+Lwjp9ZMFsNYMrkCGqeSykc pYiywLY4tpkzNGfDAtIG6FZI2n8OsyNCN6qq63EOxghblv40oXFdiSN5AcHjzBU4 X1mYGootUx0R5cLm7M69fjR1ginx43kIXNvaUNavjWRdQCXV3VzsdRbBp2Ew0UV2 VP/rnGwID5GguSaxir6TcntGMpEYmJWai5wS9/gAjXotsf4TlWfpQU+gTheZe5X/ QcOIIoBL8P/lYMfvlHm1T3S/ONvbVgaWnri3rWOy96ogf49+Y/xc6iKMc6dm+YZz FQzOi6Jw =G/EG -----END PGP SIGNATURE-----