प्लेटफ़ॉर्म
sap
घटक
sap-netweaver-application-server-java
में ठीक किया गया
7.50.1
CVE-2026-27674 SAP NetWeaver Application Server Java (Web Dynpro Java) में एक कोड इंजेक्शन भेद्यता है। यह भेद्यता हमलावर को दुर्भावनापूर्ण इनपुट प्रदान करने की अनुमति देती है, जिसे एप्लिकेशन द्वारा व्याख्यायित किया जाता है और हमलावर-नियंत्रित सामग्री को संदर्भित करता है। इससे सत्र समझौता हो सकता है, जिससे हमलावर पीड़ित के ब्राउज़र में मनमाना क्लाइंट-साइड कोड निष्पादित कर सकता है। यह भेद्यता SAP NetWeaver Application Server Java (Web Dynpro Java) के संस्करण 7.50–WD-RUNTIME 7.50 को प्रभावित करती है। इस समस्या को ठीक करने के लिए नवीनतम पैच पर अपग्रेड करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को पीड़ित के ब्राउज़र में मनमाना क्लाइंट-साइड कोड निष्पादित करने की अनुमति देती है। इसका मतलब है कि हमलावर संवेदनशील जानकारी चुरा सकता है, उपयोगकर्ता के खाते पर नियंत्रण कर सकता है, या दुर्भावनापूर्ण कार्य कर सकता है। इस भेद्यता का उपयोग सत्र समझौता करने के लिए किया जा सकता है, जिससे हमलावर पीड़ित की ओर से कार्य कर सकता है। यह भेद्यता एप्लिकेशन की गोपनीयता और अखंडता को प्रभावित कर सकती है। चूंकि यह भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका प्रभाव व्यापक हो सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को दुर्भावनापूर्ण इनपुट प्रदान करना होगा जिसे एप्लिकेशन द्वारा व्याख्यायित किया जाता है।
CVE-2026-27674 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी मध्यम गंभीरता और क्लाइंट-साइड कोड निष्पादन की क्षमता के कारण, यह शोषण के लिए एक संभावित लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं। NVD और CISA ने इस भेद्यता के लिए तारीखें जारी की हैं, जो 2026-04-14 को प्रकाशित हुई थी।
Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.
• java / server:
# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code• generic web:
# Monitor access logs for unusual requests containing potentially malicious input
grep -i 'script' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-27674 के लिए प्राथमिक शमन उपाय SAP NetWeaver Application Server Java (Web Dynpro Java) को नवीनतम पैच संस्करण में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण इनपुट को फ़िल्टर किया जा सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने से भेद्यता के जोखिम को कम करने में मदद मिल सकती है। WAF नियमों को इस तरह से कॉन्फ़िगर किया जाना चाहिए कि वे उन विशिष्ट पैटर्न का पता लगाएं जो कोड इंजेक्शन हमलों से जुड़े हैं। इनपुट सत्यापन को यह सुनिश्चित करना चाहिए कि एप्लिकेशन द्वारा संसाधित सभी इनपुट मान्य और अपेक्षित प्रारूप में हैं।
कोड इंजेक्शन (Code Injection) भेद्यता को कम करने के लिए SAP सुरक्षा पैच (Security Patch) 3719397 लागू करें। पैच लगाने के विस्तृत निर्देशों और प्रभावित संस्करणों के लिए SAP नोट और सुरक्षा पैच डे (Security Patch Day) देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27674 SAP NetWeaver Application Server Java (Web Dynpro Java) में एक कोड इंजेक्शन भेद्यता है जो हमलावरों को मनमाना क्लाइंट-साइड कोड निष्पादित करने की अनुमति देती है।
यदि आप SAP NetWeaver Application Server Java (Web Dynpro Java) के संस्करण 7.50–WD-RUNTIME 7.50 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-27674 को ठीक करने के लिए, SAP NetWeaver Application Server Java (Web Dynpro Java) को नवीनतम पैच संस्करण में अपग्रेड करें।
CVE-2026-27674 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
आप CVE-2026-27674 के लिए आधिकारिक SAP सलाहकार SAP सुरक्षा केंद्र पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।