SAP wprowadza aktualizacje bezpieczeństwa w odpowiedzi na poważne luki

Firma SAP ogłosiła wydanie aktualizacji zabezpieczeń, które zajmują się dwiema krytycznymi lukami, mogącymi być wykorzystanymi do uzyskania dowolnego dostępu do systemów.

Luki, które zostały zgłoszone to:

• CVE-2019-17571 (CVSS score: 9.8) – luka typu injection w aplikacji SAP Quotation Management Insurance (FS-QUO).
• CVE-2026-27685 (CVSS score: 9.1) – luka związana z nieskalowalną deserializacją w SAP NetWeaver Enterprise Portal Administration.

Ekspert ds. bezpieczeństwa firmy Onapsis zwrócił uwagę, że „aplikacja wykorzystuje przestarzały komponent Apache Log4j 1.2.17, który jest podatny na CVE-2019-17571. Umożliwia to nieuprawnionemu atakującemu zdalne wykonywanie dowolnego kodu na serwerze, co w znaczący sposób wpływa na poufność, integralność i dostępność aplikacji.”

Z drugiej strony, luka CVE-2026-27685 wynika z braku lub niewystarczającej weryfikacji podczas deserializacji przesyłanych treści, co może pozwolić atakującemu na przesłanie nieufnych lub złośliwych danych.

„Tylko faktor wymaganego wysokiego poziomu uprawnień do skutecznego wykorzystania luki powstrzymuje od przypisania jej maksymalnego wyniku CVSS równemu 10” – dodał Onapsis.

Informacje o tych lukach pojawiają się w czasie, gdy Microsoft wypuścił łatki dla 84 podatności w swoich produktach, w tym wielu związanych z eskalacją uprawnień i zdalnym wykonaniem kodu.

We wtorek, firma Adobe również ogłosiła łatki dla 80 podatności, z czego cztery są krytycznymi flawami, które wpływają na Adobe Commerce i Magento Open Source, co może prowadzić do eskalacji uprawnień i obejścia zabezpieczeń. Osobno naprawiono pięć krytycznych luk w programie Adobe Illustrator, które mogą umożliwiać zdalne wykonanie dowolnego kodu.

Problemy z urządzeniami sieciowymi HPE

Z kolei Hewlett Packard Enterprise wprowadził poprawki dla pięciu luk w systemie Aruba Networking AOS-CX. Najpoważniejsza z tych wad to CVE-2026-23813 (CVSS score: 9.8), dotycząca obejścia uwierzytelnienia w interfejsie zarządzania.

„W interfejsie zarządzania opartym na sieci, które może pozwolić zdalnemu nieautoryzowanemu użytkownikowi na obejście istniejących mechanizmów uwierzytelniania, zidentyfikowano lukę” – powiedziała firma HPE. „W niektórych przypadkach może to umożliwić resetowanie hasła administratora.”

„Wykorzystanie tej luki Aruba może dać atakującym pełną kontrolę nad urządzeniami sieciowymi AOS-CX oraz możliwość kompromitacji całego systemu w sposób niezauważony” – zaznaczył Ross Filipek, CISO w Corsica Technologies.

„Sukces w wykorzystaniu tej luki może prowadzić do zakłócenia komunikacji sieciowej lub naruszenia integralności kluczowych usług biznesowych. Ta wada przypomina, że luki w urządzeniach sieciowych stają się coraz bardziej powszechne w dzisiejszym hiperpołączonym świecie. Kiedy atakujący uzyskują uprawniony dostęp do tych urządzeń, naraża to organizacje na znaczne ryzyko.”

Aktualizacje bezpieczeństwa od innych dostawców

Ostatnich kilka tygodni przyniosło również aktualizacje zabezpieczeń od innych firm, które mają na celu naprawienie wielu luk, w tym:

• ABB
• Amazon Web Services
• AMD
• Arm
• Atlassian
• Bosch
• Broadcom (w tym VMware)
• Canon
• Cisco
• Commvault
• Dassault Systèmes
• Dell
• Devolutions
• Drupal
• Elastic
• F5
• Fortinet
• Fortra
• Foxit Software
• GitLab
• Google Android i Pixel
• Google Chrome
• Google Cloud
• Google Pixel Watch
• Google Wear OS
• Grafana
• Hitachi Energy
• Honeywell
• HP
• HP Enterprise (w tym Aruba Networking i Juniper Networks)
• IBM
• Intel
• Ivanti
• Jenkins
• Lenovo
• Dystrybucje Linuksa: AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, oraz Ubuntu
• MediaTek
• Mitsubishi Electric
• Moxa
• Mozilla Firefox, Firefox ESR i Thunderbird
• n8n
• NVIDIA
• Palo Alto Networks
• QNAP
• Qualcomm
• Ricoh
• Samsung
• Schneider Electric
• ServiceNow
• Siemens
• SolarWinds
• Splunk
• Synology
• TP-Link
• Trend Micro
• WatchGuard
• Western Digital
• Zoom
• Zyxel