SAP - CVE-2026-27681
Date de publication :
Il s’agit d’une vulnérabilité dans les contrôles d’autorisation de SAP Business Planning and Consolidation et SAP Business Warehouse.
SAP Business Planning and Consolidation est une application de planification, de budgétisation, de prévision et de consolidation financière. SAP Business Warehouse est une plateforme d’entrepôt de données qui intègre, transforme, consolide et stocke des données pour le reporting et l’analyse.
Un utilisateur authentifié peut soumettre des instructions SQL forgées via l’application. Le défaut ne bloque pas correctement l’accès à des opérations SQL sensibles.
L’attaquant peut alors lire, modifier et supprimer des données en base.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• SAP Business Planning and Consolidation versions HANABPC 810 et antérieures,
• SAP Business Planning and Consolidation versions BPC4HANA 300 et antérieures,
• SAP Business Warehouse versions SAP_BW 750, 752, 753, 754, 755, 756, 757, 758 et 816.