Threats
A SAP publicou 26 novas notas e uma atualização, incluindo duas correções para falhas críticas em CRM, S/4HANA e NetWeaver. A empresa recomenda a aplicação imediata dos patches
12/02/2026
|
A SAP disponibilizou 26 novas notas de segurança e uma nota atualizada no Security Patch Day, totalizando 27 publicações. Duas das correções tratam vulnerabilidades classificadas como críticas, com potencial impacto elevado em ambientes empresariais. A primeira, identificada como CVE-2026-0488, apresenta uma pontuação CVSS de 9.9 e afeta o componente Scripting Editor do SAP CRM e do SAP S/4HANA. A falha de injeção de código pode ser explorada por utilizadores autenticados para executar instruções SQL arbitrárias. Segundo a empresa de segurança aplicacional Onapsis, uma exploração bem-sucedida pode resultar no comprometimento total da base de dados, o que, por sua vez, afeta a confidencialidade, integridade e disponibilidade da aplicação. A segunda vulnerabilidade crítica, CVE-2026-0509, com CVSS de 9.6, afeta o SAP NetWeaver Application Server ABAP e a ABAP Platform. A falha decorre da ausência de uma verificação de autorização adequada. De acordo com a Onapsis, em determinadas circunstâncias um utilizador autenticado com privilégios reduzidos pode executar chamadas remotas de função em background sem a autorização S_RFC necessária, permitindo ações não autorizadas no sistema. Além das falhas críticas, a SAP publicou sete novas notas que resolvem vulnerabilidades de severidade elevada em produtos como NetWeaver, Supply Chain Management, Solution Tools Plug-In (ST-PI), BusinessObjects e Commerce Cloud. Entre estas está uma vulnerabilidade de XML signature wrapping no NetWeaver, que pode levar à aceitação de documentos XML assinados adulterados, com exposição de informação sensível e impacto na disponibilidade do sistema. As restantes falhas de severidade elevada incluem ausência de verificação de autorização, uma race condition, um open redirect e três vulnerabilidades de negação de serviço (DoS). Foram ainda corrigidas vulnerabilidades de severidade média e baixa em diversos componentes, incluindo NetWeaver, BusinessObjects, Document Management System, Business Server Pages Application, Commerce Cloud, SAP Business One, Business Workflow, sistemas SAP baseados em ABAP, Fiori App, Support Tools Plug-In, S/4HANA e Strategic Enterprise Management. A SAP não refere exploração ativa destas vulnerabilidades. Ainda assim, recomenda que os clientes apliquem as atualizações com a maior brevidade possível, tendo em conta o risco associado a falhas críticas em sistemas centrais de negócio. |
Receba todas as novidades na sua caixa de correio!
ANALYSIS
Ataques globais atingem níveis recorde em 2025 com aceleração da IA
THREATS
CISA alerta para vulnerabilidades Linux exploradas ativamente
THREATS
Microsoft corrige falha no Outlook
THREATS
Cibercriminosos russos exploram falha recente no Microsoft Office
THREATS
CNCS alerta para vulnerabilidade crítica
THREATS
Campanha compromete servidores NGINX para sequestrar tráfego web de utilizadores
THREATS
Google corrige falhas críticas no Looker com risco de execução de código
THREATS
Campanhas de infostealers adaptam-se ao macOS e exploram o fator humano
THREATS
Permissões excessivas a agentes de IA criam novas vulnerabilidades na cadeia de software
THREATS
Campanha de spear phishing explora screensavers para obter acesso remoto a sistemas Windows
