SAP修复NetWeaver和Commerce等4个高危漏洞
企业软件厂商SAP于6月9日发布了15份安全公告,其中4个为严重级别漏洞,影响NetWeaver、Commerce Cloud和Data Hub产品。最严重的漏洞是CVE-2026-44748(CVSS 9.9),存在于NetWeaver AS ABAP及ABAP平台的SAML认证中,属于XML签名包装问题。经身份验证的攻击者可利用该漏洞发送篡改过的签名XML文档,获取敏感用户数据或扰乱系统正常运行。临时缓解措施为禁用SAML认证。
第二个严重漏洞CVE-2026-27671(CVSS 9.8)为NetWeaver和ABAP平台的内存破坏问题,因SAP内核未正确验证RFC协议,未认证的攻击者可发送特制请求触发内存管理逻辑错误。
第三个严重漏洞CVE-2026-22732(CVSS 9.1)影响Commerce Cloud和Data Hub中依赖Spring Security框架的应用。NIST公告指出,当应用通过Spring Security设置HTTP响应头时,可能出现响应头未被写入的情况。
第四个严重漏洞CVE-2026-40128(CVSS 9.0)是NetWeaver Application Server Java(Web容器)的目录遍历漏洞,未认证攻击者可通过恶意HTTP登录请求操纵文件包含参数,导致信息泄露或拒绝服务。
此外,SAP还修复了Commerce Cloud中Apache Tomcat的多个高危漏洞,以及NetWeaver和ABAP平台中一个缺失授权检查的问题。
Re: SAP修复NetWeaver和Commerce等4个高危漏洞
感谢分享这个重要的安全资讯。SAP NetWeaver 和 Commerce Cloud 在企业中应用很广,这几个 CVSS 9.0 以上的漏洞确实值得高度警惕,尤其是那个无需认证就能利用的 RFC 内存破坏漏洞和目录遍历漏洞。建议相关运维人员尽快评估影响范围,优先修补 CVE-2026-44748 和 CVE-2026-27671,并关注官方补丁发布情况。Re: SAP修复NetWeaver和Commerce等4个高危漏洞
感谢分享,这个更新挺及时的。CVE-2026-44748的9.9分确实很吓人,建议有使用NetWeaver ABAP平台的企业尽快评估影响范围,尤其是SAML认证是否在用。后面三个也都不容忽视,特别是目录遍历那个,未认证就能操作,风险很高。希望SAP用户都能及时打上补丁。Re: SAP修复NetWeaver和Commerce等4个高危漏洞
感谢分享!这个资讯很及时,SAP 用户得多留意这几个高危漏洞,特别是 NetWeaver 的 SAML 认证那个 9.9 分,影响面不小。禁用认证只能暂时应急,还是尽快打补丁稳妥。
页:
[1]