Plataforma
sap
Componente
sap-netweaver-application-server-java
Corrigido em
7.50.1
Uma vulnerabilidade de Code Injection foi descoberta no SAP NetWeaver Application Server Java (Web Dynpro Java). Essa falha permite que um atacante não autenticado forneça entradas maliciosas que são interpretadas pela aplicação, levando à execução de conteúdo controlado pelo atacante no navegador da vítima. As versões afetadas incluem 7.50–WD-RUNTIME 7.50. A correção oficial está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade pode resultar em comprometimento de sessões de usuário e execução de código arbitrário no navegador da vítima. Isso significa que um atacante pode potencialmente obter acesso não autorizado a dados sensíveis, manipular funcionalidades da aplicação e até mesmo realizar ações em nome do usuário comprometido. O impacto na confidencialidade e integridade dos dados é significativo, com potencial para causar danos consideráveis à organização. A ausência de impacto na disponibilidade não diminui a gravidade da vulnerabilidade, pois a perda de confidencialidade e integridade pode ter consequências graves.
A vulnerabilidade foi publicada em 2026-04-14. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da publicação. A vulnerabilidade foi adicionada ao KEV catalog, indicando uma probabilidade média de exploração. A severidade é classificada como média (CVSS 6.1).
Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.
• java / server:
# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code• generic web:
# Monitor access logs for unusual requests containing potentially malicious input
grep -i 'script' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A SAP recomenda a aplicação imediata da correção oficial disponível. Enquanto a correção não é aplicada, medidas de mitigação podem ser implementadas para reduzir o risco de exploração. Isso inclui a validação rigorosa de todas as entradas de usuário, a implementação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts não confiáveis e o monitoramento contínuo dos logs de aplicação em busca de atividades suspeitas. A configuração de um Web Application Firewall (WAF) com regras específicas para detectar e bloquear tentativas de injeção de código também pode ser eficaz.
Aplique o patch de segurança SAP 3719397 para mitigar a vulnerabilidade de Injeção de Código (Code Injection). Consulte a nota de SAP e o Security Patch Day para obter instruções detalhadas sobre a aplicação do patch e as versões afetadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27674 is a Code Injection vulnerability affecting SAP NetWeaver Application Server Java (Web Dynpro Java) allowing attackers to execute client-side code via crafted input, potentially leading to session compromise.
If you are using SAP NetWeaver Application Server Java (Web Dynpro Java) version 7.50–WD-RUNTIME 7.50, you are potentially affected by this vulnerability. Check SAP Security Notes for updates.
The recommended fix is to upgrade to a patched version of SAP NetWeaver Application Server Java (Web Dynpro Java) as soon as it becomes available. Monitor SAP Security Notes for updates.
Active exploitation campaigns are not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the official SAP Security Notes for the latest information and advisory regarding CVE-2026-27674: https://www.sap.com/security/bulletins.html
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.