Threats
A SAP lançou 15 atualizações de segurança no Patch Day de março de 2026, incluindo correções para duas vulnerabilidades críticas que podem permitir execução remota de código nos sistemas FS-QUO e NetWeaver
12/03/2026
|
A SAP publicou o conjunto de notas de segurança do Security Patch Day de março de 2026, corrigindo 15 vulnerabilidades em várias soluções empresariais, entre as quais duas falhas críticas com potencial para permitir execução remota de código. Uma das vulnerabilidades mais graves afeta o Quotation Management Insurance (FS-QUO) e está identificada como CVE-2019-17571. A falha corresponde a um problema de injeção de código relacionado com desserialização de dados não confiáveis na biblioteca Apache Log4j, que em determinadas condições pode permitir que atacantes executem código arbitrário remotamente. Outra vulnerabilidade crítica corrigida é CVE-2026-27685, que afeta o NetWeaver Enterprise Portal Administration. Trata-se também de um problema de desserialização insegura, que pode permitir a um atacante carregar dados maliciosos e, durante o processo de desserialização, provocar execução de código, escalada de privilégios ou negação de serviço (DoS). Além destas falhas críticas, a SAP publicou uma terceira atualização relevante para CVE-2026-27689, uma vulnerabilidade de negação de serviço de alta gravidade no módulo de Supply Chain Management. A falha permite que um atacante explore uma função específica utilizando parâmetros de controlo de ciclo excessivamente grandes, levando ao esgotamento de recursos do sistema. Segundo o SecurityWeek, as restantes notas de segurança resolvem vulnerabilidades classificadas como médias em vários produtos da empresa, incluindo NetWeaver, Business One, Business Warehouse, S/4HANA, Customer Checkout 2.0, GUI for Windows e Solution Tools Plug-In. Entre os problemas corrigidos encontram-se diferentes tipos de falhas de segurança, como server-side request forgery, falta de verificação de autorização, injeção SQL, cross-site scripting, armazenamento inseguro de dados, DLL hijacking e negação de serviço. A SAP não indicou que alguma destas vulnerabilidades esteja a ser explorada ativamente em ataques. Ainda assim, recomenda que as organizações atualizem os sistemas afetados o mais rapidamente possível para reduzir potenciais riscos de segurança. |
Receba todas as novidades na sua caixa de correio!
THREATS
Google desmantela campanha global que visava telecomunicações e governos
NEWS
Portugal acolhe hackathon da Comissão Europeia no setor da defesa
THREATS
Ataques em 2026 exploram confiança em vez de vulnerabilidades
THREATS
CNCS alerta para falha crítica
ITS CONF
Coordenador do CNCS abre segunda edição da IT Security Summit Porto 2026
THREATS
Nova variante do ataque ClickFix usa Windows Terminal para contornar mecanismos de deteção
THREATS
CISA alerta para falhas Apple exploradas em ataques
THREATS
Ataques InstallFix distribuem malware via guias CLI
THREATS
Google corrige vulnerabilidades críticas no Chrome
THREATS
Patches corrigem falhas críticas em appliances de rede
