SAP Commerce Cloud & NetWeaver : plusieurs failles de sécurité critiques (CVE-2026-44761, CVE-2026-44747, CVE-2026-27690)


Ce texte a été généré par l'intelligence artificielle (IA).Mise à jour du 14 juillet 2026 : Par ailleurs, les vulnérabilités CVE-2026-44747 et CVE-2026-27690 (CVSS 9,9) ont été signalées. La vulnérabilité CVE-2026-44747 affecte SAP NetWeaver Application Server ABAP dans de nombreuses versions du noyau et permet à des attaquants privilégiés d'exécuter du code arbitraire, ce qui a un impact important sur la confidentialité, l'intégrité et la disponibilité. La vulnérabilité CVE-2026-27690 affecte SAP Approuter (Node.js) dans les versions antérieures à la 20.10.0 et peut être corrigée par une mise à jour vers la version 20.10.0 ou une version ultérieure. Voir ci-dessous pour plus de détails.

Le 8 juillet 2026, SAP a publié, dans le cadre de sa journée régulière de correctifs de sécurité, une vulnérabilité critique dans SAP Commerce Cloud sous le code CVE-2026-44761 avec un score CVSS de 9.1 (selon la note de sécurité SAP 3753495, un compte client SAP est requis). La cause est une erreur de configuration : un client OAuth2 d'exemple fourni avec le logiciel, dont les identifiants d'accès sont publiés dans la documentation d'aide SAP, peut rester actif dans les environnements de production. Un attaquant peut utiliser ces identifiants connus sans authentification préalable pour accéder aux API et lire ou manipuler des données.

Mes systèmes sont-ils concernés ? Vérifier maintenant →