SAP dicht kritiek SQL Injection-lek in Business Planning en Business Warehouse

[Captain Kirk]

SAP heeft een kritieke kwetsbaarheid in Business Planning en Business Warehouse gedicht waardoor een ongeautoriseerde aanvaller op afstand willekeurige SQL-commando's op de database kan uitvoeren. De impact van het beveiligingslek (CVE-2026-27681) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. De kwetsbaarheid werd door securitybedrijf Onapsis aan SAP gerapporteerd.

SAP Business Planning and Consolidation (BPC) is een oplossing voor het plannen en consolideren van bedrijfsfinanciën. SAP Business Warehouse (BW) is een oplossing voor het opslaan en analyseren van grote hoeveelheden bedrijfsgegevens. De kwetsbaarheid bevindt zich in een ABAP-programma dat een gebruiker met lage rechten een bestand laat uploaden met willekeurige SQL-commando's die vervolgens worden uitgevoerd. SAP heeft het probleem verholpen door alle uitvoerbare code in het kwetsbare programma uit te schakelen.

Als tijdelijke oplossing adviseert SAP het verwijderen van de autorisatie van gebruikersaccounts om bestanden te uploaden. Dit kan echter gevolgen hebben voor gebruikers in andere applicaties. "Aangezien deze workaround kan leiden tot bijwerkingen voor de getroffen gebruikers in andere applicaties en vanwege de impact van de kwetsbaarheid, raden we sterk aan om de patch zo snel mogelijk te installeren", aldus Onapsis.

Naast het kritieke SQL Injection-lek verhelpt SAP ook een kwetsbaarheid in ERP en S/4HANA waardoor een geauthenticeerde aanvaller een ABAP-programma kan uitvoeren om bestaande achtkarakters uitvoerbare programma's te overschrijven. De impact van dit beveiligingslek (CVE-2026-34256) is beoordeeld met een 7.1.

 

bron: https://www.security.nl