Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00368

Опубликовано: 13 янв. 2026
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость программной платформы SAP S/4HANA связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки специально сформированного SQL-запроса

Вендор

SAP SE

Наименование ПО

SAP S/4HANA

Версия ПО

S4CORE 107 (SAP S/4HANA)
S4CORE 108 (SAP S/4HANA)
S4CORE 102 (SAP S/4HANA)
S4CORE 103 (SAP S/4HANA)
S4CORE 104 (SAP S/4HANA)
S4CORE 105 (SAP S/4HANA)
S4CORE 106 (SAP S/4HANA)
S4CORE 109 (SAP S/4HANA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование SIEM-систем для отслеживания событий, связанных с выполнением SQL-запросов;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00053
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-0501

CVSS3: 9.9
nvd
25 дней назад

Due to insufficient input validation in SAP S/4HANA Private Cloud and On-Premise (Financials General Ledger), an authenticated user could execute crafted SQL queries to read, modify, and delete backend database data. This leads to a high impact on the confidentiality, integrity, and availability of the application.

github логотип

GHSA-xwwh-3hfg-5c8w

CVSS3: 9.9
github
25 дней назад

Due to insufficient input validation in SAP S/4HANA Private Cloud and On-Premise (Financials General Ledger), an authenticated user could execute crafted SQL queries to read, modify, and delete backend database data. This leads to a high impact on the confidentiality, integrity, and availability of the application.

EPSS

Процентиль: 17%
0.00053
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2