SAP dicht kritiek SQL Injection-lek in Business Planning en Business Warehouse

In dit artikel:

SAP heeft een kritieke SQL-injectie in Business Planning and Consolidation (BPC) en Business Warehouse (BW) dichtgezet die een externe, ongeautoriseerde aanvaller in staat stelde om willekeurige SQL-commando’s op de back-enddatabase uit te voeren. De kwetsbaarheid (CVE-2026-27681) kreeg een score van 9,9 en werd gemeld door securitybedrijf Onapsis. Het probleem zat in een ABAP‑programma dat ook gebruikers met geringe rechten liet uploaden van bestanden met kwaadaardige SQL-instructies; SAP verhelpt dit door alle uitvoerbare onderdelen van dat programma uit te schakelen.

Als tijdelijke maatregel raadt SAP aan uploadrechten van accounts te verwijderen, maar dat kan andere applicaties en gebruikers beperken. Onapsis benadrukt daarom dat organisaties zo snel mogelijk de patch moeten toepassen. Daarnaast repareerde SAP een tweede lek in ERP en S/4HANA (CVE-2026-34256, score 7,1) waarbij een geauthenticeerde aanvaller een ABAP-programma kon gebruiken om bestaande uitvoerbare programma’s te overschrijven.