Itdaily - Kritieke bugs in SAP NetWeaver, Approuter en Commerce Cloud: patches nu beschikbaar

Kritieke bugs in SAP NetWeaver, Approuter en Commerce Cloud: patches nu beschikbaar

sap

SAP werkt drie kritieke bugs weg in NetWeaver, Commerce Cloud en SAP Approuter. De patches snel toepassen, is essentieel.

SAP NetWeaver, SAP Approuter en SAP Commerce Cloud zijn alledrie getroffen door kritieke kwetsbaarheden. SAP rolt gelukkig patches uit om de lekken meteen te dichten.

NetWeaver is het hardst getroffen. De NetWeaver Application Server bevat een bug met een CVSS-score van 9,9. CVE-2026-44747 is een bug die een aanvaller toelaat problemen met het geheugenbeheer uit te buiten. Zo is het mogelijk om vertrouwelijke bestanden te raadplegen of het systeem offline te halen. De aanvaller heeft wel beperkte rechten nodig om de aanval uit te voeren.

De kwetsbaarheid die SAP Approuter treft, is eveneens kritiek maar heeft een iets lagere score (9,1). Bug CVE-2026-27690 laat een aanvaller zonder toegangsrechten toe om via een HTTP-request het systeem te ontregelen.

Inloggen

Tot slot is er de bug in Commerce Cloud (CVE-2026-44761). Die is even ernstig als bovenstaande (9,1), maar een stuk pijnlijker. SAP Commerce Cloud kan een voorbeeld-OAuth2-client bevatten met publiek gedocumenteerde voorbeeldcredentials, afkomstig uit voorbeeldconfiguraties die worden aangeboden in de documentatie op het SAP Help Portal. Indien dit niet wordt aangepast, kan een niet-geauthenticeerde aanvaller deze algemeen bekende inloggegevens gebruiken om een geldig toegangstoken te bemachtigen en bepaalde API’s aan te roepen om data te lezen en te wijzigen.

Anders gezegd: SAP Commerce Cloud bevat een standaardconfiguratie met een standaardwachtwoord, waarmee aanvallers kunnen inloggen. Hackers kunnen dan gegevens stelen.

Op zijn patchdag verhelpt SAP nog verschillende andere problemen, maar bovenstaande zijn het meest urgent. Hier vind je een volledig overzicht. Gezien de ernst is het belangrijk patches zo snel mogelijk toe te passen.