SAP corrige falha crítica CVSS 9,9 no NetWeaver ABAP que pode expor ou alterar dados
- Cyber Security Brazil
- há 1 minuto
- 5 min de leitura

A SAP publicou seu pacote de atualizações de segurança de julho de 2026 para corrigir múltiplas vulnerabilidades em seus produtos, incluindo uma falha crítica no SAP NetWeaver Application Server ABAP que pode permitir acesso indevido a dados, alterações não autorizadas e indisponibilidade do sistema.
Identificada como CVE-2026-44747, a vulnerabilidade recebeu pontuação 9,9 de 10 no sistema CVSS, ficando próxima do nível máximo de criticidade. O problema consiste em uma gravação fora dos limites da memória, conhecida como “out-of-bounds write”, causada por erros lógicos no gerenciamento de memória.
Para explorar a falha, o invasor precisa estar autenticado no ambiente vulnerável. Uma vez dentro do sistema, ele pode provocar corrupção de memória e comprometer a confidencialidade, a integridade e a disponibilidade dos dados processados pelo servidor SAP.
Na prática, uma exploração bem-sucedida pode permitir que informações protegidas sejam acessadas ou modificadas sem autorização. Dependendo do contexto operacional e dos privilégios obtidos, o ataque também pode causar interrupções no ambiente SAP, afetando aplicações e processos corporativos que dependem do NetWeaver ABAP.
O SAP NetWeaver Application Server ABAP é utilizado como base para diversas aplicações empresariais desenvolvidas ou executadas na plataforma SAP. Em organizações de grande porte, esses sistemas podem estar ligados a processos financeiros, recursos humanos, logística, compras, produção, faturamento e gestão de fornecedores.
Como medida temporária, a nota de segurança da SAP propõe desativar, por meio da transação SICF, todos os nós do Internet Communication Framework, ou ICF, que apresentem uma propriedade específica relacionada à vulnerabilidade.
Os nós ICF controlam serviços HTTP e HTTPS disponibilizados pelo ambiente ABAP. A desativação reduz a superfície de ataque, mas também impede a abertura de transações por meio do SAP GUI for HTML, interface que permite acessar funcionalidades do sistema SAP pelo navegador.
Segundo a empresa de segurança SAP Onapsis, essa limitação faz com que a mitigação temporária não seja adequada para todos os clientes. A recomendação prioritária é instalar a versão corrigida do ABAP Kernel, componente central responsável pela execução e pelo gerenciamento de recursos no ambiente ABAP.
Falha no SAP Approuter permite desvio de requisições HTTP
O pacote de julho também corrige a CVE-2026-27690, vulnerabilidade crítica com pontuação CVSS 9,1 que afeta implementações do SAP Approuter executadas fora de ambientes Cloud Foundry.
O problema é classificado como HTTP request/response smuggling, técnica na qual um invasor explora diferenças na forma como servidores, proxies e componentes intermediários interpretam o início e o fim de uma requisição HTTP.
Ao enviar uma requisição especialmente preparada, um atacante não autenticado pode provocar uma dessincronização entre requisições e respostas processadas pela infraestrutura. Com isso, uma resposta destinada a um usuário pode ser associada incorretamente à conexão de outro usuário.
A exploração pode expor respostas contendo informações de usuários e também provocar ataques de negação de serviço, ou DoS, comprometendo a disponibilidade da aplicação.
Esse tipo de falha pode ser especialmente relevante em arquiteturas que utilizam proxies reversos, balanceadores de carga, gateways de API e múltiplas camadas de processamento HTTP. Quando os componentes não interpretam as mensagens da mesma forma, o invasor pode manipular o fluxo de requisições encaminhadas ao servidor de origem.
Credenciais padrão expõem APIs do SAP Commerce Cloud
Outra vulnerabilidade crítica corrigida pela SAP é a CVE-2026-44761, também avaliada com pontuação CVSS 9,1. A falha afeta o SAP Commerce Cloud e está relacionada ao uso de credenciais padrão em configurações de OAuth 2.0.
O problema pode ocorrer quando ambientes de produção mantêm um cliente OAuth 2.0 de exemplo, criado por scripts de configuração anteriormente disponibilizados na documentação do SAP Help Portal.
Esses scripts foram originalmente desenvolvidos para ambientes de demonstração, desenvolvimento e testes. No entanto, eles configuravam clientes OAuth com credenciais fixas, conhecidas publicamente e documentadas nos próprios materiais da SAP.
Versões antigas da documentação não alertavam explicitamente os clientes para que essas configurações padrão não fossem importadas ou mantidas em sistemas de produção, segundo a Onapsis.
Caso o script de exemplo tenha sido executado e o cliente OAuth permaneça ativo com o segredo original, um invasor não autenticado pode utilizar as credenciais publicamente conhecidas para solicitar um token de acesso válido.
Com esse token, o responsável pelo ataque pode invocar determinadas APIs do SAP Commerce Cloud para consultar ou modificar dados do sistema. A vulnerabilidade apresenta impacto elevado sobre confidencialidade e integridade, embora não afete diretamente a disponibilidade do serviço.
OAuth 2.0 é um padrão utilizado para conceder acesso limitado a aplicações, serviços e APIs sem a necessidade de compartilhar diretamente a senha do usuário. Nesse modelo, o cliente apresenta suas credenciais ao servidor de autorização e recebe um token que define quais recursos podem ser acessados.
Quando um cliente OAuth utiliza um segredo padrão e amplamente conhecido, esse mecanismo deixa de identificar de forma confiável a aplicação legítima. Um invasor pode se passar pelo cliente autorizado e obter acesso às APIs associadas àquela configuração.
Nem todos os clientes estão vulneráveis
A CVE-2026-44761 não afeta automaticamente todas as instalações do SAP Commerce Cloud. A exploração depende de uma condição específica: o cliente precisa ter executado o script de exemplo e mantido em produção o cliente OAuth 2.0 criado por ele sem substituir o segredo padrão.
Ambientes nos quais o cliente de exemplo foi removido ou o segredo foi alterado para um valor forte e exclusivo não são afetados por essa vulnerabilidade.
A SAP recomenda que os administradores auditem os ambientes de produção para identificar a presença do cliente OAuth vulnerável. Caso ele seja encontrado, o componente deve ser removido, conforme as orientações fornecidas pelo fabricante.
Além de verificar esse cliente específico, as organizações devem revisar credenciais de demonstração, contas padrão, scripts de implantação e configurações copiadas de ambientes de desenvolvimento. Esses elementos podem permanecer ativos após a entrada do sistema em produção e criar caminhos de acesso que não fazem parte do desenho de segurança original.
Prioridade depende da exposição de cada ambiente
Até o momento, não existem evidências públicas de que as três vulnerabilidades estejam sendo exploradas em ataques reais. Ainda assim, a pontuação elevada, o potencial de acesso ou alteração de dados e a possibilidade de comprometimento de processos empresariais tornam necessária a aplicação das atualizações.
A CVE-2026-44747 exige autenticação, mas pode afetar diretamente a memória do servidor NetWeaver ABAP e comprometer dados ou a disponibilidade do sistema. Por isso, contas SAP comprometidas, privilégios excessivos e acessos de terceiros podem aumentar o risco de exploração.
Já a CVE-2026-27690 não exige autenticação e pode ser explorada por meio de requisições HTTP maliciosas. Organizações que utilizam o SAP Approuter fora do Cloud Foundry devem avaliar a exposição pública desses serviços e atualizar rapidamente os componentes vulneráveis.
No caso da CVE-2026-44761, o principal risco está em configurações inseguras mantidas em produção. A correção precisa ser acompanhada por uma auditoria para confirmar se o cliente OAuth de exemplo existe e se credenciais conhecidas continuam válidas.
Empresas que dependem de aplicações SAP devem testar os patches em ambientes controlados e aplicar as correções de acordo com a criticidade dos ativos. Também é recomendável monitorar logs de autenticação, chamadas de APIs, alterações em dados e comportamentos anormais nos serviços afetados.