CRITICAL✓ PATCH🇬🇧 English

CVE-2026-0498

SAP S/4HANA: injection kodu ABAP/poleceń OS przez RFC z uprawnieniami admina

CVSS 9.1v3.1pub. 2026-01-13upd. 2026-01-22

Podatność w SAP S/4HANA (Private Cloud i On-Premise) umożliwia atakującemu posiadającemu uprawnienia administratora wstrzyknięcie dowolnego kodu ABAP lub poleceń systemowych (OS commands) poprzez moduł funkcyjny eksponowany przez RFC. Skutkuje to możliwością pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

SAP S/4HANA (Private Cloud and On-Premise) allows an attacker with admin privileges to exploit a vulnerability in the function module exposed via RFC. This flaw enables the injection of arbitrary ABAP code/OS commands into the system, bypassing essential authorization checks. This vulnerability effectively functions as a backdoor, creating the risk of full system compromise, undermining the confidentiality, integrity and availability of the system.

🤖 Analiza AI
Jak działa

Atakujący z uprawnieniami administratora wykorzystuje moduł funkcyjny udostępniony przez interfejs RFC (Remote Function Call). Luka polega na niewystarczającej walidacji danych wejściowych (CWE-94: Improper Control of Code Generation), co pozwala na wstrzyknięcie dowolnego kodu ABAP lub poleceń systemu operacyjnego. Mechanizm omija wymagane kontrole autoryzacji, działając w praktyce jako backdoor. W rezultacie atakujący uzyskuje pełną kontrolę nad systemem, naruszając jego poufność, integralność i dostępność.

Skutki

Atakujący może osiągnąć pełny kompromis systemu SAP S/4HANA — wykonać dowolny kod ABAP lub polecenia systemu operacyjnego, co prowadzi do utraty poufności, integralności i dostępności danych oraz całego środowiska SAP.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Security Note 3694242 (https://me.sap.com/notes/3694242) opublikowaną w ramach SAP Security Patch Day. Zalecane jest również ograniczenie dostępu do interfejsu RFC wyłącznie do zaufanych hostów oraz audyt kont z uprawnieniami administratora.

Kogo dotyczy

SAP S/4HANA w wariantach Private Cloud oraz On-Premise; szczegółowe wersje wskazane w referencjach producenta (SAP Security Note 3694242).

Uwagi

Pomimo wymogu posiadania uprawnień administratora (PR:H), podatność została oceniona jako CRITICAL (CVSS 9.1) ze względu na zmieniony zakres (S:C) i pełny wpływ na poufność, integralność oraz dostępność. Producent wprost określa tę lukę jako działającą na zasadzie backdoora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Sap S\/4 Hana

    APP
    Sap
    102103104105106107108109
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2020-26832HIGH7.6ten sam produkt

SAP AS ABAP (SAP Landscape Transformation), versions - 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_...

CVE-2020-6188HIGH8.8ten sam produkt

VAT Pro-Rata reports in SAP ERP (SAP_APPL versions 600, 602, 603, 604, 605, 606, 616 and SAP_FIN versions 617,...

CVE-2024-45282MEDIUM4.3ten sam produkt

Fields which are in 'read only' state in Bank Statement Draft in Manage Bank Statements application, could be ...

CVE-2024-34691MEDIUM6.5ten sam produkt

Manage Incoming Payment Files (F1680) of SAP S/4HANA does not perform necessary authorization checks for an au...

CVE-2023-41368LOW2.7ten sam produkt

The OData service of the S4 HANA (Manage checkbook apps) - versions 102, 103, 104, 105, 106, 107, allows an at...