Scanner gratuitement
CRITICALCVE-2026-27681CVSS 9.9

Vulnérabilité d'Injection SQL (SQL Injection) dans SAP Business Planning and Consolidation et SAP Business Warehouse

Plateforme

sap

Composant

sap-business-planning-and-consolidation

Corrigé dans

810.0.1

4.0.1

750.0.1

752.0.1

753.0.1

754.0.1

755.0.1

756.0.1

757.0.1

758.0.1

816.0.1

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-27681 est une injection SQL critique affectant SAP Business Planning and Consolidation et SAP Business Warehouse. Elle permet à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires, compromettant potentiellement l'ensemble des données stockées. Les versions concernées sont 8.10 et SAP_BW 750. Une correction est disponible et son application est fortement recommandée.

Impact et Scénarios d'Attaque

Cette injection SQL permet à un attaquant d'accéder, de modifier et de supprimer des données sensibles stockées dans la base de données de SAP Business Planning and Consolidation et SAP Business Warehouse. L'attaquant, une fois authentifié, peut contourner les contrôles d'autorisation et exécuter des requêtes SQL malveillantes pour compromettre la confidentialité, l'intégrité et la disponibilité des données. Les données à risque incluent des informations financières, des données de planification et des rapports stratégiques. Une exploitation réussie pourrait entraîner une perte de données significative, une interruption des opérations commerciales et une atteinte à la réputation de l'organisation. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la sévérité critique de la vulnérabilité et sa facilité d'exploitation potentielle en font une cible privilégiée pour les acteurs malveillants.

Contexte d'Exploitation

La vulnérabilité CVE-2026-27681 a été rendue publique le 14 avril 2026. Elle est considérée comme critique en raison de sa facilité d'exploitation et de son impact potentiel. Bien qu'aucune exploitation active n'ait été signalée à ce jour, la nature de la vulnérabilité la rend susceptible d'être exploitée par des acteurs malveillants. Il est recommandé de mettre en œuvre des mesures d'atténuation dès que possible pour réduire le risque d'exploitation.

Qui Est à Risquetraduction en cours…

Organizations heavily reliant on SAP Business Planning and Consolidation and SAP Business Warehouse for financial planning, budgeting, and supply chain management are particularly at risk. Companies with legacy SAP deployments or those that have not implemented robust security controls are also more vulnerable. Shared hosting environments where multiple tenants share the same SAP instance should be carefully reviewed for potential cross-tenant exploitation.

Étapes de Détectiontraduction en cours…

• sap: Use SAP Solution Manager to check for missing security patches and identify affected systems. • linux / server: Monitor SAP application logs for unusual SQL queries or error messages indicating potential injection attempts. Use journalctl -u <sapservicename> to filter for relevant log entries. • generic web: Monitor web application firewall logs for SQL injection patterns targeting SAP endpoints. Use curl -v <sap_endpoint> to test for unexpected behavior and potential injection points.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 16%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantsap-business-planning-and-consolidation
FournisseurSAP_SE
Plage affectéeCorrigé dans
HANABPC 810 – HANABPC 810810.0.1
BPC4HANA 300 – BPC4HANA 3004.0.1
SAP_BW 750 – SAP_BW 750750.0.1
752 – 752752.0.1
753 – 753753.0.1
754 – 754754.0.1
755 – 755755.0.1
756 – 756756.0.1
757 – 757757.0.1
758 – 758758.0.1
816 – 816816.0.1

Classification de Faiblesse (CWE)

CWE-89

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour
Sans correctif — 40 jours depuis la divulgation

Mitigation et Contournements

La mitigation principale consiste à appliquer la correction fournie par SAP. Vérifiez le SAP Security Notes pour la version corrigée spécifique. Si l'application de la correction n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Ces mesures incluent la restriction des privilèges des utilisateurs, la mise en œuvre de contrôles d'accès stricts et la surveillance des journaux d'audit pour détecter toute activité suspecte. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection SQL. Après l'application de la correction, vérifiez l'intégrité de la base de données et effectuez des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.

Comment corriger

Appliquez le correctif de sécurité SAP 3719353 pour atténuer la vulnérabilité d'injection SQL. Ce correctif corrige les lacunes dans les contrôles d'autorisation qui permettent l'exécution d'instructions SQL malveillantes, protégeant ainsi la confidentialité, l'intégrité et la disponibilité des données du système.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-27681 — SQL Injection in SAP Business Planning and Consolidation?

CVE-2026-27681 is a critical SQL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse, allowing attackers to execute SQL commands and potentially access or modify sensitive data.

Am I affected by CVE-2026-27681 in SAP Business Planning and Consolidation?

If you are using SAP Business Planning and Consolidation or SAP Business Warehouse versions 8.10–SAP_BW 750, you are potentially affected and should immediately assess your systems.

How do I fix CVE-2026-27681 in SAP Business Planning and Consolidation?

Apply the security patch released by SAP. Consult the SAP Security Notes for specific instructions and compatibility information.

Is CVE-2026-27681 being actively exploited?

While no public exploits are currently available, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.

Where can I find the official SAP advisory for CVE-2026-27681?

Refer to the official SAP Security Notes published on the SAP Support Portal for detailed information and remediation steps.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE