Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-34256 |
| Źródło alertu | SAP Security Patch Day - Kwiecień 2026 |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-14 |
| Producent | SAP |
| Produkt | SAP ERP / SAP S/4HANA (Private Cloud i On-Premise) |
| CVSS Score | 7.1 (Wysoki) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Podatność typu Missing Authorization Check w SAP ERP oraz SAP S/4HANA (Private Cloud i On-Premise) polega na braku odpowiedniej weryfikacji uprawnień użytkownika. Atakujący z dostępem do systemu może wykorzystać tę lukę do manipulacji danymi finansowymi, zakłócenia działania usług oraz potencjalnego eskalowania uprawnień.
Dotknięte produkty i wersje
| Produkt | Wersje |
|---|---|
| SAP Financial Accounting | SAP_FIN 618, 720, 730 |
| Enterprise Accounting - Financials | EA-FIN 617, 700 |
| SAP S/4HANA Core | SAPSCORE 135 |
| S/4HANA Core | S4CORE 102, 103, 104, 105, 106, 107, 108, 109 |
| Enterprise Applications | EA-APPL 600, 601, 602, 603, 604, 605, 606 |
Wymagane działania
- Zastosuj poprawkę SAP Security Note 3731908
- Przejrzyj uprawnienia użytkowników w dotkniętych modułach finansowych
- Monitoruj logi autoryzacji pod kątem nietypowych prób dostępu
- Rozważ ograniczenie dostępu do wrażliwych transakcji do czasu wdrożenia poprawki
Kogo dotyczy?
Podatność dotyczy organizacji korzystających z SAP ERP oraz SAP S/4HANA (Private Cloud i On-Premise) w wymienionych wersjach. Szczególnie zagrożone są moduły finansowe i księgowe.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów SAP? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
Jak nFlo może pomóc?
Jeśli Twoja organizacja korzysta z produktów dotkniętych tą podatnością, skontaktuj się z nami. Pomożemy w:
- Weryfikacji czy Twoje systemy są zagrożone
- Wdrożeniu poprawek i mitygacji ryzyka
- Monitorowaniu prób eksploatacji w Twoim środowisku
Przydatne zasoby:
