Ir para conteúdo

Alerta de Vulnerabilidade - SAP NetWeaver Application Server ABAP

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
SAP NetWeaver Application Server ABAP
ECOSSISTEMA
Outro
CVSS v3.1 - Resumo Técnico
Vetor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CVSS 9.9 / 10 Crítico
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Requisitos de Ataque Nenhum Sem pré-condições adicionais para exploração
Privilégios Baixos Requer autenticação com privilégios reduzidos
Interação Nenhuma Não requer intervenção do utilizador
Impacto no sistema vulnerável
(C/I/A)
Alta / Alta / Alta Comprometimento elevado da confidencialidade, integridade e disponibilidade
Impacto em sistemas subsequentes
(C/I/A)
Alta / Alta / Alta O impacto pode estender-se para além do componente vulnerável
Resumo Vulnerabilidade crítica (CVSS 9.9) de escrita fora dos limites e corrupção de memória no SAP NetWeaver Application Server ABAP. A exploração remota via rede por um atacante autenticado com privilégios reduzidos, sem interação do utilizador, pode conduzir ao acesso não autorizado a dados, à modificação de informação ou à indisponibilidade do sistema. O impacto pode estender-se para além do componente vulnerável.

Descrição
Foi identificada uma vulnerabilidade de corrupção de memória (CWE-787), identificada como CVE-2026-44747/EUVD-2026-43586, no SAP NetWeaver Application Server ABAP, decorrente de erros lógicos na gestão de memória [1][2]. A correção consta da SAP Security Note 3747367, publicada no SAP Security Patch Day de julho de 2026 [3][4].

A informação pública identifica como afetadas as seguintes versões do kernel ABAP [5]: KRNL64NUC 7.22 e 7.22EXT; KRNL64UC 7.22; e as versões 7.53, 7.54, 7.77, 7.89, 7.93 e 9.16 a 9.20. A designação exata dos componentes e os patch levels corrigidos devem ser confirmados na SAP Security Note 3747367 [3].

Impacto
Um atacante remoto autenticado, com privilégios reduzidos e sem necessidade de interação do utilizador, pode desencadear uma condição de corrupção de memória. A exploração bem-sucedida permite acesso não autorizado a dados, alteração de dados e indisponibilidade do sistema, com impacto elevado em confidencialidade, integridade e disponibilidade [1][5].

Resolução
Recomenda-se a aplicação da SAP Security Note 3747367 [3]. Tratando-se de uma vulnerabilidade no kernel ABAP, a correção implica a atualização do kernel para o patch level indicado na nota.

Medidas adicionais recomendadas:
  • Restringir o acesso de rede aos sistemas SAP, garantindo que os serviços do Application Server ABAP não se encontram diretamente expostos à Internet e que o acesso está limitado a redes de confiança;
  • Aplicar o princípio do menor privilégio, revendo o universo de contas com acesso ao sistema e desativando contas técnicas e de teste não utilizadas.
Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-44747
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-44747
[3] - https://me.sap.com/notes/3747367
[4] - https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2026.html
[5] - https://github.com/advisories/GHSA-wpx3-vvrc-3w8m
Última atualização em 07-09-2022