CRITICAL✓ PATCH🇬🇧 English

CVE-2026-34263

SAP Commerce Cloud — RCE przez błędną konfigurację Spring Security

CVSS 9.6v3.1pub. 2026-05-12upd. 2026-05-15

Nieprawidłowa konfiguracja Spring Security w SAP Commerce Cloud umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwych danych wejściowych i wykonanie dowolnego kodu po stronie serwera. Podatność oceniono jako krytyczną z wynikiem CVSS 9.6, co oznacza pełne ryzyko utraty poufności, integralności i dostępności aplikacji.

Pokaż oryginał (EN)

Due to improper Spring Security configuration, SAP Commerce Cloud allows an unauthenticated user to perform malicious input injection, resulting in arbitrary server-side code execution, leading to high impact on Confidentiality, Integrity, and Availability of the application.

🤖 Analiza AI
Jak działa

Błąd wynika z niepełnego czyszczenia danych wejściowych (CWE-459 — Incomplete Cleanup) w połączeniu z wadliwą konfiguracją Spring Security, która nie blokuje odpowiednio danych dostarczanych przez użytkownika przed ich przetworzeniem. Atakujący bez żadnego uwierzytelnienia może dostarczyć specjalnie spreparowane dane wejściowe, które zostają wykonane jako kod po stronie serwera. Wektor ataku jest sieciowy, nie wymaga wysokich uprawnień ani złożonych warunków — wymagana jest jedynie interakcja użytkownika (UI:R), co sugeruje możliwość ataku np. przez spreparowany link.

Skutki

Udane wykorzystanie podatności daje atakującemu pełną kontrolę nad aplikacją — możliwość odczytu i modyfikacji danych (wysoki wpływ na poufność i integralność) oraz zakłócenia jej działania (wysoki wpływ na dostępność). Ze względu na zakres oddziaływania wykraczający poza komponent (S:C), skutki mogą objąć szerzej infrastrukturę hostującą SAP Commerce Cloud.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Note 3733064 (https://me.sap.com/notes/3733064) oraz wytycznymi SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Zaleca się weryfikację konfiguracji Spring Security w środowisku produkcyjnym oraz monitorowanie nieautoryzowanych żądań do aplikacji.

Kogo dotyczy

SAP Commerce Cloud — konkretne wersje wskazane w referencjach producenta (SAP Note 3733064 oraz SAP Security Patch Day)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje