SAP - CVE-2026-34260
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans le composant SAP Enterprise Search for ABAP de SAP S/4HANA.
SAP S/4HANA est l'ERP de nouvelle génération de SAP, construit sur la base de données in-memory SAP HANA. Il centralise les processus métier d'une organisation tels que la finance, la logistique, les achats et les ressources humaines. SAP Enterprise Search for ABAP est le moteur de recherche transverse intégré à la plateforme ABAP, qui permet d'interroger des objets métier à travers les différents modules SAP.
Les entrées utilisateur sont directement concaténées dans des requêtes SQL sans validation ni assainissement préalable avant transmission à la base de données sous-jacente. Un attaquant authentifié peut ainsi injecter des instructions SQL arbitraires dans les requêtes exécutées par l'application.
Elle permet d'accéder à des données sensibles de la base de données et de provoquer un crash de l'application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Déni de service (à distance)
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
SAP S/4HANA (SAP Enterprise Search for ABAP) SAP_BASIS versions 751, 752, 753, 754, 755, 756, 757, 758 et 816