-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in diverse SAP-producten Advisory ID : NCSC-2026-0140 Versie : 1.00 Kans : medium CVE ID : CVE-2025-68161, CVE-2026-0502, CVE-2026-27682, CVE-2026-34258, CVE-2026-34259, CVE-2026-34260, CVE-2026-34263, CVE-2026-40129, CVE-2026-40131, CVE-2026-40132, CVE-2026-40133, CVE-2026-40134, CVE-2026-40135, CVE-2026-40136, CVE-2026-40137 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Incomplete Cleanup Improper Neutralization of Special Elements used in a Command ('Command Injection') Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Control of Generation of Code ('Code Injection') Improper Certificate Validation Improper Validation of Certificate with Host Mismatch Cross-Site Request Forgery (CSRF) Improper Resource Shutdown or Release User Interface (UI) Misrepresentation of Critical Information Missing Authorization OWASP Top Ten 2013 Category A9 - Using Components with Known Vulnerabilities OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities Uitgiftedatum : 20260512 Toepassing : SAP Application Server ABAP for NetWeaver and ABAP Platform SAP Business Server Pages Application SAP BusinessObjects Business Intelligence Platform SAP Commerce Cloud Configuration SAP Financial Consolidation SAP Forecasting & Replenishment SAP HANA Deployment Infrastructure deploy library SAP Incentive and Commission Management SAP NetWeaver Application Server ABAP SAP NetWeaver Application Server for ABAP and ABAP Platform SAP S4HANA SAP S4HANA Condition Maintenance SAP SAP BusinessObjects Business Intelligence Platform SAP SAP Financial Consolidation SAP SAP NetWeaver Application Server for ABAP and ABAP Platform SAP SAP Software SAP Strategic Enterprise Management SAP UI5 SAP netweaver_application_server_abap Versie(s) : Platform(s) : Beschrijving SAP heeft kwetsbaarheden verholpen in SAP S/4HANA, SAP Commerce Cloud, SAP Forecasting & Replenishment, SAP NetWeaver Application Server voor ABAP, SAP Business Server Pages, SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management Scorecard Wizard, SAPUI5 Search UI, SAP Financial Consolidation, SAP Incentive and Commission Management, SAP Application Server ABAP voor SAP NetWeaver en ABAP Platform, en SAP HANA Deployment Infrastructure. De kwetsbaarheden betreffen verschillende typen beveiligingsproblemen binnen de genoemde SAP-producten. - In SAP S/4HANA's Enterprise Search for ABAP module kunnen geauthenticeerde aanvallers SQL-injecties uitvoeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige data en applicatiecrashes. - SAP Commerce Cloud bevat een configuratiefout in Spring Security waardoor ongeauthenticeerde gebruikers kwaadaardige configuraties kunnen uploaden en daarmee willekeurige server-side code kunnen uitvoeren. - In SAP Forecasting & Replenishment en SAP NetWeaver Application Server voor ABAP kunnen geauthenticeerde gebruikers met administratieve rechten OS-commando's uitvoeren, wat kan resulteren in systeemcompromittering of verstoring van de applicatie. - SAP S/4HANA Condition Maintenance heeft een ontbrekende autorisatiecontrole waardoor geauthenticeerde gebruikers records kunnen bekijken en wijzigen zonder de juiste permissies. - SAP Business Server Pages Application component TAF_APPLAUNCHER en SAP NetWeaver Application Server ABAP bevatten Cross-Site Scripting (XSS) kwetsbaarheden die het mogelijk maken om gebruikers te misleiden via kwaadaardige links. - SAP BusinessObjects Business Intelligence Platform heeft een Cross Site Request Forgery (CSRF) kwetsbaarheid die geauthenticeerde gebruikers kan misleiden tot het uitvoeren van ongewenste acties. - SAP Strategic Enterprise Management Scorecard Wizard kent een autorisatiefout waardoor geauthenticeerde gebruikers toegang krijgen tot niet-toegestane informatie en instellingen kunnen wijzigen. - SAPUI5 Search UI is kwetsbaar voor URL-parameter manipulatie die kan leiden tot het injecteren van kwaadaardige content en gebruikers kan omleiden naar aanvallersites. - SAP Financial Consolidation bevat een kwetsbaarheid waarmee geauthenticeerde gebruikers sessies van andere gebruikers kunnen beëindigen, wat de beschikbaarheid beïnvloedt. - SAP Incentive and Commission Management heeft onvoldoende autorisatiecontrole waardoor geauthenticeerde gebruikers database tabellen kunnen aanpassen. - SAP Application Server ABAP voor SAP NetWeaver en ABAP Platform bevat een code-injectie kwetsbaarheid die geauthenticeerde gebruikers kunnen misbruiken om willekeurige code uit te voeren. - SAP HANA Deployment Infrastructure bevat een SQL-injectie kwetsbaarheid in de @sap/hdi-deploy package, waarbij gebruikers met hoge privileges dynamische SQL-query's kunnen manipuleren, wat de vertrouwelijkheid en beschikbaarheid kan beïnvloeden. Daarnaast is er een gerelateerde kwetsbaarheid in Apache Log4j Core (versies 2.0-beta9 tot 2.25.2) met ontbrekende TLS hostname verificatie, die man-in-the-middle aanvallen mogelijk maakt en ook diverse SAP-producten en andere software beïnvloedt. Mogelijke oplossingen SAP heeft updates uitgebracht om de kwetsbaarheden in de genoemde producten te verhelpen. Daarnaast zijn er updates voor Apache Log4j beschikbaar (versies 2.18.0, 2.19.0 en 2.20.0) die de ontbrekende TLS hostname verificatie en andere problemen adresseren. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://support.sap.com/en/my-support/knowledge-base/security- notes-news/may-2026.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoDHPkACgkQgupWoL0Z hGEEfgv/bjGCGwod6N2KAocX/Zx/8jINo5D9A/Cd+mpFo6BNiHdA4xrObau82f3d UPodUfpLA9BahJuNSwmICc+AVEyNDWl7vI048mo+adCIagRTH9O8GMRS8p5izajJ EUbmNv4BD9j2qiGLSw6BFNZGU3F/HTmCU6wlRlIlgmxjuH8WBkf1swNtAfi+6amJ L0pmEM3PyaCkQguBrfMmArdjqZofVrJTaxe3tntv7SHqxb35ZW3bL9yL1KVLPCk/ z5AdMhSxyrW1YkS2MZpKo5FrkvKKUwWSPGcIQ3QfETqKcqBjeHXdLvwMNZ5CCNK3 mNMkmgMrJ4gV8us8nXYefTMK1CVVdTMIle/yv68mBNdr6CYap+035vHi2OexpGs6 yvPfnzZdlcq2sb/dnWU5PSvzDE/x4jscM1H4mqrmCV2H9ntqLpAblXVrQXpP7XgL gXlKBUvUAAWOUao1vSLdm1k9Ktl0MJYz4+Lut4o3WU4gozG7nVh09GFWVWuIsR49 DWJX4aCI =0aBZ -----END PGP SIGNATURE-----