Uwierzytelniony atakujący w SAP CRM oraz SAP S/4HANA (Scripting Editor) może wykorzystać lukę w wywołaniu ogólnego modułu funkcyjnego do wykonania dowolnych instrukcji SQL. Podatność prowadzi do pełnego przejęcia bazy danych z krytycznym wpływem na poufność, integralność i dostępność danych.
▸ Pokaż oryginał (EN)
An authenticated attacker in SAP CRM and SAP S/4HANA (Scripting Editor) could exploit a flaw in a generic function module call and execute unauthorized critical functionalities, which includes the ability to execute an arbitrary SQL statement. This leads to a full database compromise with high impact on confidentiality, integrity, and availability.
Podatność (CWE-862 — brak kontroli autoryzacji) polega na tym, że aplikacja nie weryfikuje właściwie uprawnień użytkownika przy wywołaniu określonego ogólnego modułu funkcyjnego (generic function module call). Uwierzytelniony atakujący może nadużyć tego wywołania, aby uruchomić krytyczne operacje, do których normalnie nie powinien mieć dostępu. W efekcie możliwe jest wykonanie dowolnego zapytania SQL bezpośrednio na bazie danych obsługującej system SAP.
Atakujący może uzyskać pełen dostęp do bazy danych — odczytywać, modyfikować lub usuwać dowolne dane, co skutkuje całkowitym naruszeniem poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Note 3697099 (https://me.sap.com/notes/3697099) opublikowaną w ramach SAP Security Patch Day. Zaleca się priorytetowe wdrożenie aktualizacji ze względu na krytyczny poziom podatności.
SAP NetWeaver Application Server ABAP, SAP CRM (Scripting Editor), SAP S/4HANA — konkretne wersje wskazane w referencjach producenta (SAP Note 3697099)
Data publikacji podatności: 10 lutego 2026 r. (SAP Security Patch Day). Wektor sieciowy (AV:N) z niskimi wymaganiami co do uprawnień (PR:L) i zmienioną bazą (S:C) wskazuje, że każdy uwierzytelniony użytkownik systemu może być potencjalnym wektorem ataku.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HSap Netweaver Application Server Abap
APPSap700Sap S\/4hana
APPSap102103104105106107108109Sap Webclient Ui Framework
APPSap700701730731746747748800801
Powiązane podatności
SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Serve...
SAP CommonCryptoLib does not perform necessary authentication checks, which may result in missing or wrong aut...
SAP NetWeaver Application Server for ABAP and ABAP Platform - versions 700, 701, 702, 731, 740, 750, 751, 752,...
An attacker with non-administrative authorizations can exploit a directory traversal flaw in program SAPRSBRO ...
SAP NetWeaver ABAP Server and ABAP Platform - versions SAP_BASIS 700, 701, 702, 710, 711, 730, 731, 740, 750, ...