-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in SAP-producten Advisory ID : NCSC-2026-0230 Versie : 1.00 Kans : medium CVE ID : CVE-2025-68161, CVE-2026-0487, CVE-2026-24315, CVE-2026-27690, CVE-2026-33454, CVE-2026-40128, CVE-2026-40453, CVE-2026-40860, CVE-2026-41293, CVE-2026-43512, CVE-2026-43515, CVE-2026-44745, CVE-2026-44747, CVE-2026-44752, CVE-2026-44753, CVE-2026-44759, CVE-2026-44760, CVE-2026-44761, CVE-2026-44767, CVE-2026-44768, CVE-2026-44769, CVE-2026-44770, CVE-2026-44771, CVE-2026-58233 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Exposure of Sensitive Information to an Unauthorized Actor Out-of-bounds Write Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') Use of Default Credentials Path Traversal: '.../...//' Deserialization of Untrusted Data Uncontrolled Search Path Element Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') URL Redirection to Untrusted Site ('Open Redirect') Incorrect Implementation of Authentication Algorithm Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Missing Authorization External Control of System or Configuration Setting Observable Response Discrepancy Improper Validation of Certificate with Host Mismatch Improper Certificate Validation Improper Handling of Case Sensitivity Improper Use of Validation Framework Uitgiftedatum : 20260714 Toepassing : SAP CRM WebClient UI SAP Change and Transport System Attach Tool SAP Commerce Cloud SAP HANA Database SAP NetWeaver Application Server ABAP SAP NetWeaver Application Server Java SAP NetWeaver Enterprise Portal SAP S4 HANA SAP SAP Commerce Cloud SAP SAP NetWeaver Application Server ABAP SAP SAP NetWeaver Enterprise Portal SAP SAP Software Versie(s) : Platform(s) : Beschrijving SAP heeft kwetsbaarheden verholpen in SAP NetWeaver Application Server ABAP, SAP Approuter, SAP Commerce Cloud, SAP NetWeaver Application Server Java, SAProuter, SAP Change and Transport System Attach Tool, SAP NetWeaver Enterprise Portal, SAP S/4HANA modules, SAP Fiori Launchpad, SAP CRM WebClient UI, SAP HANA Database user self service tools, en SAP Commerce Cloud. De kwetsbaarheden betreffen diverse beveiligingsproblemen zoals: - geheugenbeschadiging in SAP NetWeaver Application Server ABAP - HTTP Request Smuggling in SAP Approuter - onveilige OAuth2-sample credentials in SAP Commerce Cloud - directory traversal in SAP NetWeaver Application Server Java - DLL hijacking in SAProuter op Windows. - Verder zijn er Cross-Site Scripting (XSS) kwetsbaarheden in SAP NetWeaver Application Server Java en Enterprise Portal en ontbrekende autorisatiecontroles in SAP S/4HANA modules. - SAP Change and Transport System Attach Tool is kwetsbaar voor remote code execution door onveilige deserialisatie. - SAP HANA user self service tools maken informatieoverdracht mogelijk zonder authenticatie. De kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang, manipulatie van data, informatielekken, en verstoring van de beschikbaarheid. Sommige kwetsbaarheden vereisen authenticatie, andere kunnen door onbevoegden worden misbruikt. Diverse kwetsbaarheden zijn specifiek voor componenten die binnen SAP- omgevingen worden gebruikt, zoals Apache Camel binnen de SAP Integration Suite en Apache Tomcat binnen SAP Commerce Cloud. Mogelijke oplossingen SAP heeft updates uitgebracht om de genoemde kwetsbaarheden te verhelpen. Gebruikers van de getroffen SAP-producten wordt geadviseerd deze updates te installeren om de beveiligingsproblemen te mitigeren. Zie bijgevoegde referenties voor meer informatie. Referenties: Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmpWPjQACgkQgupWoL0Z hGEPEgwA3ccDnohCJn4HdfhKpIyI4c5GFvKWEZeQBFMTByGdzFJ0G+Mgxy+NLfYk 0JEkHauLdw4PoIjwzzqiMa0WUOvWP6eivTpERyYqHIV2AI/UvLvnjhKFkyugAhQ6 0d+jIe3uFvbJhuy4neJ822whaxSvKEkxu9K0Fn7s5oL6YafdiD9MwpF2mlaDcN4T EkvEdwyWgTPNVkr+PQf18BboyFUipvwNQCct9V9qXNzxXEC/BORL3a2bHCS6F6UZ v2dTuCfS2uXBv8PwL4fwWhBGzy3qYY6B1MkeJdLnjT9b7v1Ao8L1tlT0A5yK9JJR ieVo521ll8TAvZDYXDQK8uGPMz1ovY67uNllq3y1ll+J7O8ECpAAkG6reorMjpUD p4HB+twV2R9OQ/WL8JaySXctbJRLpBqSleTbvXv5sUGMiAyXIWr/RLPqchRmriRd 9++cMLPUPhQFoHV2WubVcp3kBscTcnuyUNf7GMmLI84+vgTYAkDME6zbiyqghJPH 1kqFRVCN =Umhr -----END PGP SIGNATURE-----