SAP Commerce Cloud & NetWeaver : plusieurs failles de sécurité critiques (CVE-2026-44761, CVE-2026-44747, CVE-2026-27690)
Ce texte a été généré par l'intelligence artificielle (IA).Mise à jour du 14 juillet 2026 : Par ailleurs, les vulnérabilités CVE-2026-44747 et CVE-2026-27690 (CVSS 9,9) ont été signalées. La vulnérabilité CVE-2026-44747 affecte SAP NetWeaver Application Server ABAP dans de nombreuses versions du noyau et permet à des attaquants privilégiés d'exécuter du code arbitraire, ce qui a un impact important sur la confidentialité, l'intégrité et la disponibilité. La vulnérabilité CVE-2026-27690 affecte SAP Approuter (Node.js) dans les versions antérieures à la 20.10.0 et peut être corrigée par une mise à jour vers la version 20.10.0 ou une version ultérieure. Voir ci-dessous pour plus de détails.
Le 8 juillet 2026, SAP a publié, dans le cadre de sa journée régulière de correctifs de sécurité, une vulnérabilité critique dans SAP Commerce Cloud sous le code CVE-2026-44761 avec un score CVSS de 9.1 (selon la note de sécurité SAP 3753495, un compte client SAP est requis). La cause est une erreur de configuration : un client OAuth2 d'exemple fourni avec le logiciel, dont les identifiants d'accès sont publiés dans la documentation d'aide SAP, peut rester actif dans les environnements de production. Un attaquant peut utiliser ces identifiants connus sans authentification préalable pour accéder aux API et lire ou manipuler des données.
CVE-2026-27690 : SAP Approuter (Node.js) < 20.10.0
Type d'attaque : CVE-2026-44761 : utilisation d'identifiants standard connus du public ; CVE-2026-44747 et CVE-2026-27690 : attaques privilégiées présentant un fort potentiel de dommages
État du correctif : CVE-2026-27690 : correctif disponible (SAP Approuter >= 20.10.0) ; CVE-2026-44761 et CVE-2026-44747 : mesures de configuration ou correctifs conformément aux notes de sécurité SAP
Analyse technique de la vulnérabilité CVE-2026-44761
La vulnérabilité CVE-2026-44761 ne résulte pas d'une erreur dans le code du programme, mais d'une configuration par défaut non sécurisée. SAP fournit des exemples de configuration à des fins de développement et de test. Si ces configurations sont reprises telles quelles dans un environnement de production pour un client OAuth2, cela entraîne un risque de sécurité considérable. Un attaquant externe peut utiliser les identifiants documentés pour obtenir un jeton d'accès valide et ainsi accéder à l'API de l'instance SAP Commerce Cloud.
Le vecteur CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N décrit précisément le danger :
Vecteur d'attaque : Réseau (AV:N) : L'attaque peut provenir d'Internet.
Complexité de l'attaque : Faible (AC : F) : Aucune préparation complexe n'est nécessaire.
Privilèges requis : Aucun (PR : N) : L'attaquant n'a besoin ni d'identifiants ni d'autorisations.
Interaction utilisateur : Aucune (UI:N) : Aucune interaction de la part de l'utilisateur n'est nécessaire.
Impact : Les répercussions sur la Confidentialité (C:H) et Intégrité (I:H) Les risques liés aux données sont jugés élevés. La disponibilité (A:N) n'est pas directement affectée.
Analyse technique des vulnérabilités CVE-2026-44747 et CVE-2026-27690
CVE-2026-44747 concerne le Serveur d'applications SAP NetWeaver ABAP dans de nombreuses versions du noyau (KRNL64NUC 7.22/7.22EXT, KRNL64UC 7.22/7.22EXT, KERNEL 7.22/7.53/7.54/7.77/7.89/7.93/9.16/9.18/9.19/9.20). Avec un score CVSS de 9.9 (critique) et le vecteur CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H Il s'agit d'une vulnérabilité particulièrement grave. Un attaquant disposant de privilèges limités (PR:L) peut, via le réseau (AV:N), mener une attaque de faible complexité (AC:L) et sans interaction de l'utilisateur (UI:N), qui dépasse les limites du domaine de sécurité d'origine (S:C). Les impacts sur la confidentialité, l’intégrité et la disponibilité sont tous élevés (C:H/I:H/A:H). Cela indique qu’une attaque réussie peut permettre de prendre le contrôle total des systèmes affectés.
CVE-2026-27690 concerne SAP Approuter (Node.js) dans les versions antérieures à la 20.10.0. Là encore, le score CVSS est de 9.9 (critique) avec un vecteur identique CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. SAP Approuter est un composant central pour le routage et l'authentification dans les environnements SAP Cloud. Une vulnérabilité dans ce composant peut avoir des conséquences importantes sur la sécurité de l'ensemble de l'environnement applicatif. Un correctif est disponible pour la vulnérabilité CVE-2026-27690 : les opérateurs devraient SAP Approuter version 20.10.0 ou ultérieure Mettre à jour.
Risque pour l'activité de l'entreprise
Une attaque réussie exploitant l'une de ces vulnérabilités peut avoir des conséquences considérables, car SAP Commerce Cloud et SAP NetWeaver traitent souvent des données stratégiques pour l'entreprise.
Dans le cas de CVE-2026-44761 Les pirates pourraient extraire des données sensibles sur les clients, manipuler les informations sur les produits et les prix, ou modifier les données relatives aux commandes. Cela entraîne des pertes financières directes, une atteinte à la réputation et d'éventuelles violations des lois sur la protection des données telles que le RGPD. Comme l'accès s'effectue à l'aide d'identifiants apparemment légitimes, bien que standardisés, un tel incident peut passer inaperçu pendant longtemps.
CVE-2026-44747 et CVE-2026-27690 permettent potentiellement à des attaquants privilégiés de prendre le contrôle total des systèmes concernés, ce qui a un impact considérable sur la confidentialité, l'intégrité et la disponibilité. Cela peut entraîner le vol de données, la manipulation de processus métier, des pannes de système et des interruptions d'activité importantes. Le fait que ces vulnérabilités aient des répercussions au-delà des limites de sécurité (Scope Changed) accentue le risque pour l'ensemble de l'infrastructure informatique.
Ces cas soulignent l'importance d'une gestion rigoureuse des configurations et d'une gestion rapide des correctifs lors de la mise en service et de l'exploitation des logiciels d'entreprise. Les configurations types ne doivent jamais être utilisées telles quelles dans les systèmes de production, et les mises à jour de sécurité doivent être installées sans délai.
Ce point est particulièrement important pour les entreprises situées en Allemagne, en Autriche et en Suisse : si un tel accès compromet les données à caractère personnel de citoyens de l'UE, l'article 33 du RGPD impose une obligation de notification à l'autorité de contrôle compétente dans un délai de 72 heures. En outre, les opérateurs de SAP Commerce Cloud et de SAP NetWeaver classés comme entités importantes ou particulièrement importantes au sens de la directive NIS 2 peuvent être soumis à des obligations supplémentaires en matière de notification et de sécurité. Le BSI recommande de manière générale de mettre en œuvre sans délai les consignes de sécurité émises par les fabricants tels que SAP.
Recommandations à l'intention des exploitants
SAP a publié les notes de sécurité correspondantes dans le cadre de sa journée régulière de correctifs de sécurité. Les opérateurs sont invités à consulter les instructions détaillées via leur compte client SAP. Les mesures suivantes doivent être prises sans délai :
Concernant la vulnérabilité CVE-2026-44761 (configuration OAuth2 de SAP Commerce Cloud) :
Inventaire et vérification : Identifiez toutes les instances de SAP Commerce Cloud. Vérifiez la configuration de chaque système afin de vous assurer que le client OAuth2 d'exemple est bien actif avec les identifiants publiés dans la documentation.
Correction immédiate : Désactivez ou supprimez immédiatement le client concerné. Remplacez-le par une configuration utilisant des identifiants sécurisés et générés individuellement.
Mise en œuvre de la note SAP : Mettez en œuvre les mesures de configuration décrites dans le Note de sécurité SAP 3753495 conformément aux instructions du fabricant. L'accès à la note nécessite un compte client SAP.
Concernant CVE-2026-44747 (SAP NetWeaver Application Server ABAP) :
Identifier les systèmes concernés : Identifiez toutes les instances SAP NetWeaver ABAP et leurs versions de noyau. Vérifiez si l'une des versions concernées (KRNL64NUC 7.22/7.22EXT, KRNL64UC 7.22/7.22EXT, KERNEL 7.22/7.53/7.54/7.77/7.89/7.93/9.16/9.18/9.19/9.20) est utilisée.
Consulter la note de sécurité SAP : Consultez la note de sécurité SAP correspondante sur le portail SAP Support et suivez les instructions qui y sont décrites pour corriger cette vulnérabilité.
Appliquer les correctifs dans les meilleurs délais : Planifiez et mettez en œuvre les correctifs ou solutions de contournement fournis conformément aux recommandations de SAP et à vos processus de gestion des changements.
Pour CVE-2026-27690 (SAP Approuter Node.js) :
Vérifier les versions : Identifiez toutes les instances de SAP Approuter (Node.js) et vérifiez si une version antérieure à la 20.10.0 est utilisée.
Effectuer une mise à jour : Mettez à jour SAP Approuter vers Version 20.10.0 ou ultérieure. Testez la mise à jour dans un environnement de test avant de la déployer en production.
Vérifier la documentation : Consultez la documentation officielle de SAP et la note de sécurité correspondante pour plus de détails et pour connaître les éventuels ajustements de configuration.
Recommandations générales :
Surveillance et journalisation : Renforcez la surveillance de vos systèmes SAP afin de détecter rapidement toute activité suspecte. Vérifiez les journaux à la recherche d'accès API inhabituels ou de tentatives d'authentification.
Bilan de sécurité régulier : Effectuez régulièrement des contrôles de sécurité de votre environnement SAP afin d'identifier les erreurs de configuration et les composants obsolètes.
Processus de gestion des correctifs : Mettez en place un processus structuré permettant l'installation rapide des mises à jour de sécurité.
La visibilité depuis l'extérieur comme fondement de la gestion des risques
Des vulnérabilités telles que CVE-2026-44761, CVE-2026-44747 et CVE-2026-27690 illustrent bien la difficulté de garder une vue d'ensemble de tous les systèmes accessibles depuis l'extérieur et de leurs configurations. Souvent, ces systèmes sont mis en place dans le cadre de projets et échappent par la suite à la vigilance du service de sécurité, devenant ce qu’on appelle le „ shadow IT “ — que ce soit parce qu’ils ont été déployés dans des environnements cloud, parce qu’ils ont été oubliés une fois le projet terminé ou simplement parce qu’ils n’ont pas été répertoriés dans l’inventaire des actifs.
Une plateforme de gestion de la surface d'attaque externe (EASM) telle que LocateRisk répond à ce problème en identifiant en permanence tous les actifs informatiques associés à votre entreprise. Cela inclut également les instances de SAP Commerce Cloud, SAP NetWeaver et SAP Approuter exploitées sous vos domaines. Cette transparence permet aux équipes de sécurité de vérifier de manière ciblée s’il existe des systèmes potentiellement vulnérables et si des configurations par défaut non sécurisées ou des versions obsolètes sont utilisées — même là où aucun inventaire complet des actifs n’est tenu à jour. Le délai entre l’apparition d’une faille de sécurité et sa détection s’en trouve ainsi considérablement réduit.
Par ailleurs, la gestion continue des risques fournisseurs (C-VRM) permet d'évaluer la sécurité des fournisseurs clés tels que SAP et de gérer de manière proactive les risques liés à la chaîne d'approvisionnement. En tant que solution allemande, hébergée dans des centres de données certifiés ISO 27001 en Allemagne, LocateRisk répond aux exigences du RGPD et contribue à minimiser les risques liés au Cloud Act américain.
CVE-2026-44761 est une vulnérabilité de SAP Commerce Cloud résultant d'une configuration par défaut non sécurisée : un client OAuth2 d'exemple, dont les identifiants d'accès sont documentés publiquement, peut rester actif tel quel dans des environnements de production. Selon la note de sécurité SAP 3753495, un attaquant non authentifié peut exploiter ces identifiants connus pour obtenir un jeton d'accès valide et appeler certaines API, ce qui a un impact important sur la confidentialité et l'intégrité des données (CVSS 9.1).
Conformément aux informations fournies dans la note de sécurité SAP 3753495, les versions sont les suivantes : COM_CLOUD 2211, COM_CLOUD 2211-JDK21 ainsi que HY_COM 2205 concernés par la vulnérabilité CVE-2026-44761. Les opérateurs d'autres versions devraient néanmoins vérifier si des configurations OAuth2 de ce type sont actives dans leurs systèmes.
La vulnérabilité CVE-2026-44747 affecte SAP NetWeaver Application Server ABAP dans de nombreuses versions du noyau (de 7.22 à 9.20) et permet à des attaquants privilégiés d'exécuter du code arbitraire, ce qui a un impact important sur la confidentialité, l'intégrité et la disponibilité (CVSS 9,9). CVE-2026-27690 affecte SAP Approuter (Node.js) dans les versions antérieures à la 20.10.0, avec un score CVSS et un vecteur d'attaque identiques. Un correctif est disponible pour CVE-2026-27690 (mise à jour vers la version 20.10.0 ou supérieure).
Pour CVE-2026-44761 La note de sécurité SAP 3753495 décrit une mesure de configuration : les administrateurs doivent désactiver ou supprimer le client OAuth2 d'exemple concerné et le remplacer par une configuration utilisant des identifiants individuels générés de manière sécurisée. Pour CVE-2026-44747 les opérateurs doivent consulter la note de sécurité SAP correspondante et mettre en œuvre les correctifs ou les solutions de contournement qui y sont décrits. Pour CVE-2026-27690 Une mise à jour vers la version 20.10.0 ou une version ultérieure de SAP Approuter est nécessaire. Les instructions complètes sont disponibles via un compte client SAP.
À l'heure actuelle, rien n'indique que les vulnérabilités CVE-2026-44761, CVE-2026-44747 ou CVE-2026-27690 soient activement exploitées. Toutefois, compte tenu des scores CVSS élevés et des conséquences potentiellement importantes, les opérateurs devraient mettre en œuvre sans délai les mesures recommandées.
Vérification rapide CVE
Vérifiez en quelques minutes si votre surface d'attaque visible depuis l'extérieur présente des indices liés à une vulnérabilité CVE actuelle.
Une estimation approximative en quelques minutes par e-mail.
Pour en savoir plus, contactez gratuitement un consultant LocateRisk.
Vous recevrez cela par e-mail
EntreprisesVotre société GmbH
CVE vérifiésCVE-2024-3094
Évaluation passive
Remarques concernant le CVEIndications trouvées
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.