SAP Security Patch Day (luty 2026): 26 nowych poprawek i 1 aktualizacja – dwie luki „Hot News” do pilnego załatania

Wprowadzenie do problemu / definicja luki

W comiesięczny SAP Security Patch Day (10 lutego 2026) opublikowano 26 nowych not bezpieczeństwa oraz 1 aktualizację wcześniej wydanej noty. W paczce znalazły się m.in. dwie pozycje o statusie Critical, z bardzo wysokimi ocenami CVSS (9.9 oraz 9.6), dotyczące kluczowych komponentów w wielu krajobrazach SAP: SAP CRM / SAP S/4HANA (Scripting Editor) oraz SAP NetWeaver AS ABAP / ABAP Platform.

W praktyce „luka” (vulnerability) oznacza błąd projektowy lub implementacyjny, który może zostać wykorzystany do naruszenia poufności, integralności lub dostępności systemu. W środowiskach SAP stawka jest wysoka: to często systemy finansowe, logistyczne, HR i integracyjne „kręgosłupy” organizacji.

W skrócie

• 26 nowych not + 1 aktualizacja w ramach Patch Day z 10.02.2026.
• Najpoważniejsza luka: CVE-2026-0488 (CVSS 9.9) – „code injection” w SAP CRM / SAP S/4HANA (Scripting Editor), z opisanym scenariuszem prowadzącym choćby do kompromitacji bazy danych (m.in. przez możliwość wykonania dowolnego SQL).
• Druga krytyczna: CVE-2026-0509 (CVSS 9.6) – brak wymaganej autoryzacji (m.in. w kontekście S_RFC) pozwalający użytkownikowi o niskich uprawnieniach wykonywać określone background RFC.
• SAP podkreśla priorytetowe wdrożenie poprawek; podobne zalecenia pojawiają się też w zewnętrznych alertach CERT.

Kontekst / historia / powiązania

SAP od lat publikuje poprawki w modelu „Patch Day” (drugi wtorek miesiąca), żeby ułatwić planowanie utrzymania i ograniczyć „patch chaos” w dużych organizacjach. W lutym 2026 szczególnie rzuca się w oczy koncentracja na:

• ABAP/NetWeaver (autoryzacje, bezpieczeństwo usług i przetwarzania komunikatów),
• komponentach podatnych na klasyczne błędy aplikacyjne (XSS, open redirect, deserializacja),
• oraz obszarach „enterprise BI/e-commerce” (BusinessObjects, Commerce Cloud).

Z perspektywy obrony warto pamiętać: wiele exploitów w SAP zaczyna się od poświadczeń o niskich uprawnieniach (np. konto techniczne, użytkownik integracyjny, przejęta sesja), a dopiero potem następuje eskalacja skutków.

Analiza techniczna / szczegóły luki

1) CVE-2026-0488 (CVSS 9.9) – code injection w SAP CRM / SAP S/4HANA (Scripting Editor)

SAP wskazuje podatność jako krytyczną w komponentach związanych ze Scripting Editor. W opisie NVD podkreślono możliwość nadużycia błędu w wywołaniu „generic function module”, co może umożliwić uruchomienie nieautoryzowanych funkcji, w tym wykonanie dowolnego SQL, z potencjalnym skutkiem „full database compromise”.

Dlaczego to groźne?

• Dostęp uwierzytelniony bywa łatwiejszy do uzyskania niż się wydaje (phishing, reuse haseł, wycieki, słabe konta serwisowe).
• Jeżeli wektor realnie pozwala na arbitrary SQL, to konsekwencje obejmują nie tylko aplikację, ale często całą warstwę danych.

2) CVE-2026-0509 (CVSS 9.6) – brak autoryzacji w SAP NetWeaver AS ABAP / ABAP Platform

Wg opisu NVD, użytkownik o niskich uprawnieniach może w określonych przypadkach wykonywać background Remote Function Calls bez wymaganej autoryzacji S_RFC, co przekłada się na wysoki wpływ na integralność i dostępność.

Co to oznacza operacyjnie?

• Ryzyko nadużyć wokół RFC/wywołań funkcji z kontekstu „w tle” (np. obejścia kontroli dostępu dla wybranych scenariuszy).
• Możliwe skutki: zmiany danych, zakłócenia procesów, destabilizacja systemu (w zależności od tego, jakie funkcje i gdzie da się uruchomić).

3) Dodatkowy kontekst: XML Signature Wrapping (CVE-2026-23687, CVSS 8.8)

W lutowej paczce znalazła się też wysoko oceniona pozycja dotycząca XML Signature Wrapping w NetWeaver AS ABAP/ABAP Platform (CVSS 8.8). To klasa błędów, w której atakujący manipuluje strukturą XML tak, aby weryfikator „zaufał” podpisowi, ale zastosował go do innej części dokumentu. W praktyce grozi to obejściem kontroli integralności komunikatów i nadużyciami w procesach opartych o podpisane XML.

Praktyczne konsekwencje / ryzyko

Najczęstsze realne scenariusze ryzyka dla organizacji z SAP:

• Kompromitacja danych (w tym potencjalnie baza danych lub wrażliwe rekordy biznesowe) przy podatnościach umożliwiających nieautoryzowane wykonanie operacji wysokiego ryzyka.
• Sabotaż procesów (integralność) i przestoje (dostępność) przy lukach w autoryzacjach i komponentach wykonawczych (RFC, funkcje systemowe).
• Efekt domina w integracjach (SAP często jest hubem) – choćby „lokalna” luka może przerodzić się w incydent łańcuchowy (EDI, ESB, systemy finansowe, hurtownie).

Warto też zauważyć, iż ostrzeżenia o tej paczce pojawiają się w kanałach CERT/CSIRT, co zwykle jest sygnałem, iż temat ma znaczenie dla infrastruktury krytycznej i dużych instytucji.

Rekomendacje operacyjne / co zrobić teraz

1. Zidentyfikuj ekspozycję
   • Czy używasz podatnych wersji komponentów wymienionych w notach (CRM/S4 Scripting Editor; NetWeaver AS ABAP/ABAP Platform; BusinessObjects; Commerce Cloud; ST-PI)?
2. Nadaj priorytet „Hot News/Critical”
   • W pierwszej kolejności: CVE-2026-0488 (9.9) i CVE-2026-0509 (9.6), potem „High” (np. XML Signature Wrapping 8.8).
3. Zaplanuj okno serwisowe i wdrożenie not
   • W SAP najlepszą praktyką jest wdrożenie zgodnie z oficjalnymi notami i zależnościami (często występują prerekwizyty).
4. Tymczasowe ograniczenia ryzyka (jeśli patching nie jest natychmiastowy)
   • Przegląd ról i uprawnień, zwłaszcza wokół RFC i kont technicznych.
   • Monitoring nietypowych wywołań RFC / zadań w tle, anomalii w logach, nietypowych błędów aplikacji.
   • Weryfikacja ścieżek dostępu do funkcji/edytorów skryptów (kto realnie musi mieć dostęp).
5. Komunikacja do właścicieli biznesowych
   • Dla krytycznych podatności warto formalnie odnotować ryzyko (GRC/ISMS) i uzgodnić priorytety z właścicielami procesów.

Różnice / porównania z innymi przypadkami

• Code injection / SQL (CVE-2026-0488) ma potencjalnie „bardziej destrukcyjny” profil skutków (dane + kontrola), ale zwykle wymaga sensownego punktu zaczepienia w aplikacji i uprawnień uwierzytelnionego użytkownika.
• Braki w autoryzacjach (CVE-2026-0509) często są „cichsze” i bliższe eskalacji uprawnień / nadużyciom wewnętrznym – a jednocześnie w środowiskach enterprise bywają najczęściej wykorzystywanym mechanizmem do lateral movement, gdy atakujący już ma konto.
• XML Signature Wrapping to klasyk w systemach integracyjnych: szczególnie bolesny, gdy podpisane XML są podstawą zaufania w przepływach (SSO, federacja, integracje B2B).

Podsumowanie / najważniejsze wnioski

Lutowy SAP Security Patch Day 2026 (10 lutego) przyniósł dużą paczkę poprawek, z dwiema krytycznymi lukami na czele. jeżeli Twoja organizacja używa SAP CRM/S/4HANA (Scripting Editor) lub SAP NetWeaver AS ABAP/ABAP Platform, priorytetem powinno być szybkie wdrożenie odpowiednich not oraz kontrola ekspozycji (role, RFC, konta techniczne).

Źródła / bibliografia

1. SAP: SAP Security Patch Day – February 2026 (lista not, priorytety, CVSS, produkty i wersje). (support.sap.com)
2. NVD (NIST): CVE-2026-0488 (opis, scenariusz i skutki). (NVD)
3. NVD (NIST): CVE-2026-0509 (opis, S_RFC i background RFC, wektor CVSS). (NVD)
4. RedRays: SAP Security Patch Day February 2026 (kontekst paczki i opis XML Signature Wrapping). (RedRays – Your SAP Security Solution)
5. Saudi NCA/CERT alert (odwołanie do lutowego biuletynu SAP i zalecenia aktualizacji). (nca.gov.sa)