प्लेटफ़ॉर्म
sap
घटक
sap-business-planning-and-consolidation
में ठीक किया गया
810.0.1
4.0.1
750.0.1
752.0.1
753.0.1
754.0.1
755.0.1
756.0.1
757.0.1
758.0.1
816.0.1
CVE-2026-27681 एक गंभीर SQL इंजेक्शन भेद्यता है जो SAP Business Planning and Consolidation और SAP Business Warehouse को प्रभावित करती है। इस भेद्यता के कारण, एक प्रमाणित उपयोगकर्ता दुर्भावनापूर्ण SQL कथन निष्पादित कर सकता है, जिससे डेटाबेस डेटा को पढ़ने, संशोधित करने और हटाने की क्षमता मिलती है। यह भेद्यता SAP Business Planning and Consolidation और SAP Business Warehouse के संस्करण 8.10–SAP_BW 750 को प्रभावित करती है। SAP ने इस समस्या को हल करने के लिए एक पैच जारी किया है।
यह भेद्यता हमलावर को डेटाबेस में संग्रहीत संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर डेटा को पढ़, संशोधित या हटा सकता है, जिससे सिस्टम की अखंडता और उपलब्धता से समझौता हो सकता है। हमलावर डेटाबेस से महत्वपूर्ण व्यावसायिक जानकारी, ग्राहक डेटा या वित्तीय रिकॉर्ड चुरा सकता है। इसके अतिरिक्त, हमलावर डेटाबेस को दूषित कर सकता है या सिस्टम को सेवा से वंचित करने के लिए दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। इस भेद्यता का शोषण करने का प्रभाव व्यापक हो सकता है, जिससे महत्वपूर्ण वित्तीय नुकसान, प्रतिष्ठा को नुकसान और कानूनी दायित्व हो सकता है। यह भेद्यता अन्य SQL इंजेक्शन भेद्यताओं के समान है, जहां हमलावर डेटाबेस क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करके सिस्टम को नियंत्रित कर सकता है।
CVE-2026-27681 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालाँकि, भेद्यता की गंभीरता और SQL इंजेक्शन हमलों की व्यापकता को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता CISA KEV (Known Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन उन्हें व्यापक रूप से वितरित नहीं किया गया है। NVD (National Vulnerability Database) में 2026-04-14 को प्रकाशन तिथि दर्ज है।
Organizations heavily reliant on SAP Business Planning and Consolidation and SAP Business Warehouse for financial planning, budgeting, and supply chain management are particularly at risk. Companies with legacy SAP deployments or those that have not implemented robust security controls are also more vulnerable. Shared hosting environments where multiple tenants share the same SAP instance should be carefully reviewed for potential cross-tenant exploitation.
• sap: Use SAP Solution Manager to check for missing security patches and identify affected systems.
• linux / server: Monitor SAP application logs for unusual SQL queries or error messages indicating potential injection attempts. Use journalctl -u <sapservicename> to filter for relevant log entries.
• generic web: Monitor web application firewall logs for SQL injection patterns targeting SAP endpoints. Use curl -v <sap_endpoint> to test for unexpected behavior and potential injection points.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-27681 के लिए प्राथमिक शमन उपाय SAP द्वारा जारी किए गए नवीनतम पैच पर अपग्रेड करना है। यदि अपग्रेड तुरंत संभव नहीं है, तो कमजोर संस्करणों के लिए एक्सेस को सीमित करने और मजबूत प्रमाणीकरण तंत्र लागू करने पर विचार करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग SQL इंजेक्शन हमलों को ब्लॉक करने के लिए किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL इंजेक्शन हमलों के जोखिम को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, सिस्टम की सुरक्षा स्कैनिंग और भेद्यता मूल्यांकन करें।
SQL Injection भेद्यता को कम करने के लिए SAP सुरक्षा पैच 3719353 लागू करें। यह पैच प्राधिकरण जाँचों में कमियों को ठीक करता है जो दुर्भावनापूर्ण SQL कथनों के निष्पादन की अनुमति देती हैं, इस प्रकार सिस्टम डेटा की गोपनीयता, अखंडता और उपलब्धता की रक्षा करती है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27681 SAP Business Planning and Consolidation और SAP Business Warehouse में एक SQL इंजेक्शन भेद्यता है जो प्रमाणित उपयोगकर्ताओं को डेटाबेस डेटा को पढ़ने, संशोधित करने और हटाने की अनुमति देती है।
यदि आप SAP Business Planning and Consolidation या SAP Business Warehouse के संस्करण 8.10–SAP_BW 750 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
SAP द्वारा जारी किए गए नवीनतम पैच पर अपग्रेड करें। यदि अपग्रेड तुरंत संभव नहीं है, तो एक्सेस को सीमित करें और WAF का उपयोग करें।
CVE-2026-27681 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, शोषण की संभावना है।
कृपया SAP सुरक्षा सलाहकार देखें: [https://help.sap.com/securityportal](https://help.sap.com/securityportal)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।