ГлавнаяБаза уязвимостей БДУ → BDU:2026-01625
9критическая

BDU:2026-01625

Уязвимость инструмента создания сценариев веб-клиента системы для управления взаимоотношениями с клиентами SAP CRM и программной платформы SAP S/4HANA, позволяющая нарушителю выполнить произвольный код и получить несанкционированный доступ к базе данных
Опубликовано: 2026-02-11
Описание

Уязвимость инструмента создания сценариев веб-клиента системы для управления взаимоотношениями с клиентами SAP CRM и программной платформы SAP S/4HANA связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и получить несанкционированный доступ к базе данных путем отправки специально сформированного SQL-запроса

Затрагиваемое ПО и версии
SAP CRM (S4FND 102)SAP CRM (103)SAP CRM (104)SAP CRM (105)SAP CRM (106)SAP CRM (107)SAP CRM (108)SAP CRM (731)SAP CRM (746)SAP CRM (747)SAP CRM (748)SAP CRM (800)SAP CRM (801)SAP CRM (109)SAP CRM (SAP_ABA 700)SAP CRM (WEBCUIF 700)SAP CRM (701)SAP CRM (730)SAP S/4HANA (S4FND 102)SAP S/4HANA (103)SAP S/4HANA (104)SAP S/4HANA (105)SAP S/4HANA (106)SAP S/4HANA (107)SAP S/4HANA (108)SAP S/4HANA (109)SAP S/4HANA (SAP_ABA 700)SAP S/4HANA (WEBCUIF 700)SAP S/4HANA (701)SAP S/4HANA (730)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN)
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Использование рекомендаций:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html
Проверьте безопасность своего сайта и почты → Полная проверка домена