CRITICAL✓ PATCH🇬🇧 English

CVE-2026-40128

SAP NetWeaver AS Java – path traversal w Web Container bez uwierzytelnienia

CVSS 9.0v3.1pub. 2026-06-09

Podatność w SAP NetWeaver Application Server Java (Web Container) umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie ataku path traversal poprzez spreparowane żądanie HTTP logowania. Ze względu na brak wymogu uwierzytelnienia oraz możliwość wpływu na poufność, integralność i dostępność systemu, podatność jest klasyfikowana jako krytyczna.

Pokaż oryginał (EN)

SAP NetWeaver Application Server Java (Web Container) allows an unauthenticated attacker to craft a malicious HTTP logon request that manipulates file inclusion parameters, enabling path traversal and processing of the included file. Processing the included file could allow the attacker to view or modify sensitive information or render any part of the local system unavailable.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do procesu logowania Web Container, manipulując parametrami odpowiedzialnymi za dołączanie plików (file inclusion). Mechanizm ten nie weryfikuje poprawnie ścieżki pliku, co pozwala na wyjście poza dozwolony katalog (path traversal, CWE-35). W rezultacie serwer przetwarza plik wskazany przez atakującego spoza dozwolonego kontekstu aplikacji. Przetworzenie takiego pliku może skutkować ujawnieniem lub modyfikacją danych albo niedostępnością fragmentów systemu lokalnego.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przechowywanych w systemie, zmodyfikować pliki lub spowodować niedostępność wybranych zasobów lokalnego systemu operacyjnego. Zasięg ataku wykracza poza granice aplikacji (Scope: Changed), co zwiększa poziom zagrożenia dla całej infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Note 3727078 (https://me.sap.com/notes/3727078) oraz zaleceniami opublikowanymi w ramach SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Do czasu wdrożenia łatki zaleca się ograniczenie dostępu do interfejsu logowania Web Container wyłącznie do zaufanych sieci.

Kogo dotyczy

SAP NetWeaver Application Server Java (Web Container) — konkretne wersje wskazane w referencjach producenta (SAP Note 3727078 oraz SAP Security Patch Day).

Uwagi

Podatność została opublikowana 9 czerwca 2026 r. w ramach cyklicznego SAP Security Patch Day. Wektor CVSS wskazuje na wysoką złożoność ataku (AC:H) oraz zmianę zakresu (S:C), co mimo braku wymogu uwierzytelnienia (PR:N, UI:N) ogranicza ocenę do CVSS 9.0.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path TraversalAuth BypassContainer
CWE
Referencje
CVE-2026-40128 — SAP NetWeaver AS Java – path traversal w Web Container bez uwierzytelnienia — CRITICAL 9.0 | CVEbaza.pl