Giriş
SAP, Haziran 2026 güvenlik yamanı paketinin bir parçası olarak, SAP NetWeaver ve SAP Commerce Cloud üzerinde kritik seviyede dört zafiyet dahil olmak üzere toplam 15 zafiyeti düzeltmiştir. Bu zafiyetlerin önemi, kurumsal sistemlerin ve verilerin güvenliğini tehdit etmesidir.
Saldırı Nasıl Çalışıyor?
SAP tarafından açıklanan kritik zafiyetler arasında şunlar bulunmaktadır:
- CVE-2026-44748 (CVSS 9.9) – SAML tabanlı ortamlarda kimlik doğrulama atlatmaya yol açabilecek XML İmza Sarma zafiyeti SAP NetWeaver AS ABAP ve ABAP Platform’da bulunmaktadır.
- CVE-2026-27671 (CVSS 9.8) – SAP NetWeaver/ABAP Platform Uygulama Sunucusu ABAP’da bellek bozulması zafiyeti.
- CVE-2026-22732 (CVSS 9.1) – SAP Commerce Cloud ve SAP Data Hub’ı etkileyen Spring Security ile ilgili zafiyet.
- CVE-2026-40128 (CVSS 9.0) – SAP NetWeaver Uygulama Sunucusu Java’nın Web Kontrolöründe dizin geçişi zafiyeti.
CVE-2026-44748 için açıklama şu şekildedir: “SAP NetWeaver Uygulama Sunucusu ABAP ve ABAP Platform’u, normal ayrıcalıklara sahip bir doğrulanmış saldırganın geçerli imzalı bir mesaj elde etmesine ve doğrulayıcıya değiştirilmiş imzalı XML belgeleri göndermesine olanak tanımaktadır.” Bu durum, sahte kimlik bilgileri ile hassas kullanıcı verilerine yetkisiz erişim sağlanmasına yol açabilir.
CVE-2026-27671 ise, saldırganın kimlik doğrulama gerektirmeden, zarar görmüş RFC istekleri göndererek bellek bozulmasına yol açmasına olanak tanımaktadır.
Etkilenen Sistemler
SAP, yukarıdaki kritik güvenlik sorunları dışında, iki yüksek seviye zafiyet daha düzeltmiştir:
- CVE-2026-29145 – Commerce Cloud’u etkileyen birden fazla Apache Tomcat zafiyeti.
- CVE-2026-44751 – NetWeaver AS ABAP’da eksik yetkilendirme kontrolü sorunu.
Bunların yanı sıra, çeşitli SQL enjeksiyonu, dizin geçişi, çapraz site betiği (XSS), e-posta sahteciliği ve yetkilendirme atlatma sorunları da düzeltilmiştir.
Çözüm ve Korunma
Kritik güvenlik zafiyetleriyle ilgili öneriler sadece SAP müşterilerine yönelik güvenlik portalında bulunmaktadır. Etkilenen sistemleri kullanan kuruluşların, özellikle şu zafiyetlere odaklanmaları gerekmektedir:
- CVE-2026-44748 – SAML kimlik doğrulama zafiyeti
- CVE-2026-27671 – Bellek bozulması zafiyeti
Bu zafiyetler, yüksek seviyede etkisi olabilecek ciddi sorunlardır.
Sonuç
Kuruluşlar, yukarıda belirtilen zafiyetlere karşı derhal güncellemeleri uygulamalıdır. Ayrıca, güvenlik duvarında ilgili portları kapatmak ve sistem izleme süreçlerini güçlendirmek de önemlidir. Güvenlik açıklarının hızla kapatılması, kurumsal veri güvenliğinin sağlanması için kritik bir adımdır.
