Siber Güvenlik

SAP, NetWeaver ve Commerce Cloud’da Acil Kritik Açıkları Giderdi

teknomers
teknomers

Giriş

SAP, Haziran 2026 güvenlik yamanı paketinin bir parçası olarak, SAP NetWeaver ve SAP Commerce Cloud üzerinde kritik seviyede dört zafiyet dahil olmak üzere toplam 15 zafiyeti düzeltmiştir. Bu zafiyetlerin önemi, kurumsal sistemlerin ve verilerin güvenliğini tehdit etmesidir.

Contents

Saldırı Nasıl Çalışıyor?

SAP tarafından açıklanan kritik zafiyetler arasında şunlar bulunmaktadır:

  • CVE-2026-44748 (CVSS 9.9) – SAML tabanlı ortamlarda kimlik doğrulama atlatmaya yol açabilecek XML İmza Sarma zafiyeti SAP NetWeaver AS ABAP ve ABAP Platform’da bulunmaktadır.
  • CVE-2026-27671 (CVSS 9.8) – SAP NetWeaver/ABAP Platform Uygulama Sunucusu ABAP’da bellek bozulması zafiyeti.
  • CVE-2026-22732 (CVSS 9.1) – SAP Commerce Cloud ve SAP Data Hub’ı etkileyen Spring Security ile ilgili zafiyet.
  • CVE-2026-40128 (CVSS 9.0) – SAP NetWeaver Uygulama Sunucusu Java’nın Web Kontrolöründe dizin geçişi zafiyeti.

CVE-2026-44748 için açıklama şu şekildedir: “SAP NetWeaver Uygulama Sunucusu ABAP ve ABAP Platform’u, normal ayrıcalıklara sahip bir doğrulanmış saldırganın geçerli imzalı bir mesaj elde etmesine ve doğrulayıcıya değiştirilmiş imzalı XML belgeleri göndermesine olanak tanımaktadır.” Bu durum, sahte kimlik bilgileri ile hassas kullanıcı verilerine yetkisiz erişim sağlanmasına yol açabilir.

CVE-2026-27671 ise, saldırganın kimlik doğrulama gerektirmeden, zarar görmüş RFC istekleri göndererek bellek bozulmasına yol açmasına olanak tanımaktadır.

Etkilenen Sistemler

SAP, yukarıdaki kritik güvenlik sorunları dışında, iki yüksek seviye zafiyet daha düzeltmiştir:

  • CVE-2026-29145 – Commerce Cloud’u etkileyen birden fazla Apache Tomcat zafiyeti.
  • CVE-2026-44751 – NetWeaver AS ABAP’da eksik yetkilendirme kontrolü sorunu.

Bunların yanı sıra, çeşitli SQL enjeksiyonu, dizin geçişi, çapraz site betiği (XSS), e-posta sahteciliği ve yetkilendirme atlatma sorunları da düzeltilmiştir.

Çözüm ve Korunma

Kritik güvenlik zafiyetleriyle ilgili öneriler sadece SAP müşterilerine yönelik güvenlik portalında bulunmaktadır. Etkilenen sistemleri kullanan kuruluşların, özellikle şu zafiyetlere odaklanmaları gerekmektedir:

  • CVE-2026-44748 – SAML kimlik doğrulama zafiyeti
  • CVE-2026-27671 – Bellek bozulması zafiyeti

Bu zafiyetler, yüksek seviyede etkisi olabilecek ciddi sorunlardır.

Sonuç

Kuruluşlar, yukarıda belirtilen zafiyetlere karşı derhal güncellemeleri uygulamalıdır. Ayrıca, güvenlik duvarında ilgili portları kapatmak ve sistem izleme süreçlerini güçlendirmek de önemlidir. Güvenlik açıklarının hızla kapatılması, kurumsal veri güvenliğinin sağlanması için kritik bir adımdır.

Fransız Yetkililer, PlugX Kötü Amaçlı Yazılımını Bulaşmış Sistemlerden Kaldırmak İçin Operasyon Başlattı
Microsoft, Windows 11 Görev Yöneticisi Sorununu Çözerek Performansı Artırdı
Güvenlikten Ödün Vermeden Yapay Zeka Araçlarından Yararlanma Konusunda 8 İpucu
LAPSUS$’a Karşı Kuruluşunuzu Korumanın 6 Yolu
BlackByte, Sanal Varlıklara Erişmek İçin ESXi Hatasını Fidye Yazılımıyla Hedefliyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Riot’tan Yeni Karakter: League of Legends’ın Locke’u Tanıtıldı
Sonraki Makale Microsoft’un AI Lideri, Anthropic’ın Claude’un Bilinçli Davrandığını İddia Etmesini Eleştirdi

Sanal Medya

Son Eklenenler

Bu İnce Yastık Hoparlörü Sayesinde Kulaklık Olmadan Uyumak Kolaylaştı
Genel
Bose’un Yeni QuietComfort Ultra Modelinde Rekor İndirim!
Liste
2026’nın başında 130 milyar $’lık veri merkezi projeleri engellendi
Donanım
Siri AI ile Mac’te İlk 24 Saatimde Neler Yaşadım?
Liste
RTX 5060 Ti’li oyun bilgisayarında 500 $ indirim, sadece 1.499 $!
Donanım
Dwarf Fortress’ta 100 Yeni Yaratıkla Macera Sizleri Bekliyor
Oyun