SAP - CVE-2026-0488
Date de publication :
Une vulnérabilité de type Missing Authorization dans SAP CRM et SAP S/4HANA permet à un attaquant authentifié d’exploiter un appel générique de module fonctionnel afin d’exécuter des fonctionnalités critiques non autorisées, incluant l’exécution d’instructions SQL arbitraires, pouvant entraîner une compromission complète de la base de données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
La vulnérabilité exploitée est du type
CWE-862: Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Les versions SAP CRM et SAP S/4HANA (Scripting Editor) affectées par la note de sécurité 3697099.
Solutions ou recommandations
Effectuer l’application de la note de sécurité SAP 3697099 du "SAP Security Patch Day - February 2026" conformément aux instructions de l’éditeur.