SAP, Temmuz 2026 güvenlik güncellemeleri kapsamında aralarında kritik bir zafiyetin de bulunduğu birden çok güvenlik açığını kapattı. En dikkat çekici olanı, SAP NetWeaver Application Server ABAP’ta keşfedilen CVE-2026-44747 (CVSS puanı: 9.9). Bu, sınır dışı yazma (out-of-bounds write) türünde bir bellek bozulması hatası. Kimliği doğrulanmış bir saldırgan, bellek yönetimindeki mantıksal hatalardan yararlanarak belleği bozabilir, böylece yetkisiz veri erişimi, değişiklik veya sistem kullanılamazlığına yol açabilir.
SAP güvenlik firması Onapsis, geçici bir çözüm olarak SICF işlemindeki belirli bir özelliğe sahip tüm ICF düğümlerinin devre dışı bırakılmasını öneriyor. Ancak bu geçici çözüm, SAP GUI for HTML'de işlemlerin açılmasını engellediği için tüm müşteriler için uygun değil. Bu nedenle, yamalı ABAP Kernel sürümünün bir an önce uygulanması şiddetle tavsiye ediliyor.
SAP’in yamaladığı diğer kritik açıklardan ilki CVE-2026-27690 (CVSS 9.1). Bu, Cloud Foundry dışı ortamlarda çalışan SAP Approuter dağıtımlarında HTTP istek/yanıt kaçakçılığı zafiyeti. Kimliği doğrulanmamış bir saldırgan, özel hazırlanmış bir HTTP isteği göndererek istek-yanıt senkronizasyonunu bozabilir, kullanıcı yanıtlarını ifşa edebilir ve hizmet reddi (DoS) saldırılarına yol açabilir.
Bir diğer kritik açık ise CVE-2026-44761 (CVSS 9.1). SAP Commerce Cloud’da varsayılan kimlik bilgilerinin kullanılmasından kaynaklanıyor. SAP Help Portal’daki örnek bir yapılandırmadan alınan, herkese açık örnek bir OAuth 2.0 istemcisi üretim ortamında tutuluyor. NIST Ulusal Güvenlik Açığı Veritabanı’na (NVD) göre, bu bilinen kimlik bilgileriyle kimliği doğrulanmamış bir saldırgan geçerli bir erişim anahtarı alabilir ve belirli API’leri çağırarak verileri okuyup değiştirebilir. Bu başarılı istismar, gizlilik ve bütünlük üzerinde yüksek etkiye sahip, kullanılabilirlik üzerinde ise etkisi yok.
Detaylar ve Etkileri
Onapsis, bu zafiyetin SAP Help Portal’da daha önce sağlanan örnek yapılandırma betiklerinden kaynaklandığını açıkladı. Bu betikler aslında geliştirme ve test amaçlıydı, ancak OAuth 2.0 istemcilerini sabit kodlanmış, herkesçe bilinen kimlik bilgileriyle yapılandırıyor. Eski dokümantasyon sürümleri, müşterileri bu varsayılan ayarları üretime aktarmamaları konusunda açıkça uyarmıyordu. Müşteri, örnek betiği çalıştırıp ortaya çıkan OAuth 2.0 istemcisini sabit kodlanmış sırrı değiştirmeden üretimde bırakırsa, saldırgan bu genel kimlik bilgilerini kullanarak geçerli bir erişim anahtarı alabilir ve verileri okuyup değiştirebilir.
Örnek istemciyi kaldıran veya sırrı güçlü ve benzersiz bir değerle değiştiren müşteriler bu açıktan etkilenmiyor. Müşterilere, üretim ortamlarında etkilenen örnek OAuth 2.0 istemcisinin varlığını denetlemeleri ve varsa kaldırmaları önerilir. Şu anda bu açıkların vahşi ortamda istismar edildiğine dair bir kanıt bulunmamakla birlikte, optimum koruma için gerekli güncellemelerin bir an önce uygulanması tavsiye ediliyor.
Kaynak: thehackernews.com