Platform
sap
Component
sap-netweaver-application-server-java
Opgelost in
7.50.1
CVE-2026-27674 beschrijft een Code Injection kwetsbaarheid in SAP NetWeaver Application Server Java (Web Dynpro Java). Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om kwaadaardige invoer te leveren die door de applicatie wordt geïnterpreteerd, wat kan leiden tot de uitvoering van code in de browser van een slachtoffer. De kwetsbaarheid treft versies 7.50–WD-RUNTIME 7.50 van SAP NetWeaver Application Server Java en vereist een upgrade of mitigatie om het risico te verminderen.
Een succesvolle exploitatie van CVE-2026-27674 kan ernstige gevolgen hebben. Een aanvaller kan kwaadaardige code injecteren en uitvoeren in de browser van een slachtoffer, wat kan leiden tot sessiecompromis. Dit betekent dat de aanvaller de sessie van het slachtoffer kan overnemen en toegang kan krijgen tot gevoelige informatie en functionaliteit binnen de applicatie. De impact omvat potentieel verlies van vertrouwelijkheid en integriteit van de applicatie, zonder direct effect op de beschikbaarheid. De mogelijkheid om client-side code uit te voeren opent de deur naar diverse aanvallen, waaronder het stelen van sessiecookies en het manipuleren van gebruikersgegevens.
Op dit moment (2026-04-14) is er geen publieke exploitatie van CVE-2026-27674 bekend. De kwetsbaarheid is recentelijk openbaar gemaakt en de impact is beoordeeld als medium. Er is geen vermelding op de CISA KEV catalogus. Het is aan te raden om de kwetsbaarheid serieus te nemen en passende mitigatiemaatregelen te implementeren om potentiële aanvallen te voorkomen.
Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.
• java / server:
# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code• generic web:
# Monitor access logs for unusual requests containing potentially malicious input
grep -i 'script' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27674 is het upgraden van SAP NetWeaver Application Server Java (Web Dynpro Java) naar een beveiligde versie. SAP heeft waarschijnlijk een patch uitgebracht om deze kwetsbaarheid te verhelpen; raadpleeg de officiële SAP Security Notes voor de meest recente informatie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke mitigatiemaatregelen zoals het implementeren van strenge invoervalidatie op de applicatie-invoerpunten. Controleer de configuratie van de applicatie op onnodige functionaliteit die de kwetsbaarheid zou kunnen blootstellen. Het gebruik van een Web Application Firewall (WAF) kan helpen om kwaadaardige verzoeken te detecteren en te blokkeren. Na de upgrade, controleer de applicatielogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de applicatie met bekende exploitpogingen.
Pas de SAP beveiligingspatch 3719397 toe om de Code Injection kwetsbaarheid te mitigeren. Raadpleeg de SAP nota en Security Patch Day voor gedetailleerde instructies over het toepassen van de patch en de getroffen versies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27674 is a Code Injection vulnerability affecting SAP NetWeaver Application Server Java (Web Dynpro Java) allowing attackers to execute client-side code via crafted input, potentially leading to session compromise.
If you are using SAP NetWeaver Application Server Java (Web Dynpro Java) version 7.50–WD-RUNTIME 7.50, you are potentially affected by this vulnerability. Check SAP Security Notes for updates.
The recommended fix is to upgrade to a patched version of SAP NetWeaver Application Server Java (Web Dynpro Java) as soon as it becomes available. Monitor SAP Security Notes for updates.
Active exploitation campaigns are not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the official SAP Security Notes for the latest information and advisory regarding CVE-2026-27674: https://www.sap.com/security/bulletins.html
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.