Plateforme
sap
Composant
sap-netweaver-application-server-java
Corrigé dans
7.50.1
Une vulnérabilité d'injection de code a été découverte dans SAP NetWeaver Application Server Java (Web Dynpro Java). Cette faille permet à un attaquant non authentifié de fournir des entrées spécialement conçues qui sont interprétées par l'application, ce qui peut entraîner l'exécution de contenu contrôlé par l'attaquant. L'impact principal concerne les versions 7.50–WD-RUNTIME 7.50, où l'exploitation réussie peut compromettre les sessions des utilisateurs.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code malveillant dans l'application Web Dynpro Java. Ce code peut être exécuté dans le navigateur de la victime lorsqu'elle accède à la fonctionnalité affectée. Les conséquences potentielles incluent la compromission de la confidentialité des données sensibles, l'altération de l'intégrité des données et, potentiellement, l'exécution de code arbitraire côté client. Bien que l'impact sur la disponibilité soit faible, la compromission de la session peut permettre à l'attaquant d'accéder à des informations confidentielles ou de modifier des données critiques. Cette vulnérabilité présente des similitudes avec d'autres failles d'injection de code, où des entrées non validées sont interprétées comme du code exécutable.
La vulnérabilité CVE-2026-27674 a été rendue publique le 14 avril 2026. La probabilité d'exploitation est considérée comme modérée, en raison de la nécessité d'une interaction utilisateur pour déclencher l'exécution du code malveillant. Aucune preuve d'exploitation active n'a été signalée à ce jour. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter d'éventuels PoCs (Proof of Concept) ou exploits publics.
Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.
• java / server:
# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code• generic web:
# Monitor access logs for unusual requests containing potentially malicious input
grep -i 'script' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à appliquer les correctifs de sécurité fournis par SAP dès qu'ils sont disponibles. En attendant, des mesures d'atténuation peuvent être mises en place, telles que la validation stricte de toutes les entrées utilisateur, l'utilisation de listes blanches pour les données autorisées et la désactivation des fonctionnalités inutiles. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes malveillantes peut également réduire le risque d'exploitation. Après l'application du correctif, vérifiez l'intégrité de l'installation et effectuez des tests de pénétration pour confirmer l'absence de vulnérabilités résiduelles.
Appliquez le correctif de sécurité SAP 3719397 pour atténuer la vulnérabilité d'injection de code. Consultez la note SAP et le Security Patch Day pour obtenir des instructions détaillées sur l'application du correctif et les versions affectées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27674 is a Code Injection vulnerability affecting SAP NetWeaver Application Server Java (Web Dynpro Java) allowing attackers to execute client-side code via crafted input, potentially leading to session compromise.
If you are using SAP NetWeaver Application Server Java (Web Dynpro Java) version 7.50–WD-RUNTIME 7.50, you are potentially affected by this vulnerability. Check SAP Security Notes for updates.
The recommended fix is to upgrade to a patched version of SAP NetWeaver Application Server Java (Web Dynpro Java) as soon as it becomes available. Monitor SAP Security Notes for updates.
Active exploitation campaigns are not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the official SAP Security Notes for the latest information and advisory regarding CVE-2026-27674: https://www.sap.com/security/bulletins.html
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.