Objet: Multiples vulnérabilités dans les produits SAP

Risques

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Exécution de code arbitraire à distance
• Injection de code indirecte à distance (XSS)
• Injection de requêtes illégitimes par rebond (CSRF)
• Injection SQL (SQLi)
• Non spécifié par l'éditeur
• Élévation de privilèges

Systèmes affectés

• Application Server for ABAP and NetWeaver RFCSDK versions KRNL64UC 7.53, NWRFCSDK 7.50, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93 et 9.16 sans le dernier correctif de sécurité
• Business Connector version SAP BC 4.8 sans le dernier correctif de sécurité
• Business Connector version SAP BC 4.8 sans le dernier correctif de sécurité
• Business Server Pages Application (Product Designer Web UI) versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606 et 617 sans le dernier correctif de sécurité
• Business Server Pages Application (Product Designer Web UI) versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606 et 617 sans le dernier correctif de sécurité
• ERP Central Component and S/4HANA (EHS Management) versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 605, 606 et 617 sans le dernier correctif de sécurité
• ERP Central Component and S/4HANA (EHS Management) versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 605, 606 et 617 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902 et UIS4H 109 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902 et UIS4H 109 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107, 108, 109 et UIS4H 109 sans le dernier correctif de sécurité
• Fiori App (Intercompany Balance Reconciliation) versions UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107, 108, 109 et UIS4H 109 sans le dernier correctif de sécurité
• HANA database version HDB 2.00 sans le dernier correctif de sécurité
• HANA database version HDB 2.00 sans le dernier correctif de sécurité
• Identity Management versions IDM_CLM_REST_API 8.0 et IDMIC 8.0 sans le dernier correctif de sécurité
• Identity Management versions IDM_CLM_REST_API 8.0 et IDMIC 8.0 sans le dernier correctif de sécurité
• Landscape Transformation versions DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752 et 2020 sans le dernier correctif de sécurité
• Landscape Transformation versions DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752 et 2020 sans le dernier correctif de sécurité
• NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
• NetWeaver Application Server ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
• NetWeaver Enterprise Portal version EP-RUNTIME 7.50 sans le dernier correctif de sécurité
• NetWeaver Enterprise Portal version EP-RUNTIME 7.50 sans le dernier correctif de sécurité
• NW AS Java UME User Mapping versions ENGINEAPI 7.50, SERVERCORE 7.50 et UMEADMIN 7.50 sans le dernier correctif de sécurité
• NW AS Java UME User Mapping versions ENGINEAPI 7.50, SERVERCORE 7.50 et UMEADMIN 7.50 sans le dernier correctif de sécurité
• S/4HANA (Private Cloud and On-Premise) versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
• S/4HANA (Private Cloud and On-Premise) versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
• S/4HANA Private Cloud and On-Premise (Financials General Ledger) versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
• S/4HANA Private Cloud and On-Premise (Financials General Ledger) versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
• Supplier Relationship Management (SICF Handler in SRM Catalog) versions SRM_SERVER 700, 701, 702, 713 et 714 sans le dernier correctif de sécurité
• Supplier Relationship Management (SICF Handler in SRM Catalog) versions SRM_SERVER 700, 701, 702, 713 et 714 sans le dernier correctif de sécurité
• Wily Introscope Enterprise Manager (WorkStation) version WILY_INTRO_ENTERPRISE 10.8 sans le dernier correctif de sécurité
• Wily Introscope Enterprise Manager (WorkStation) version WILY_INTRO_ENTERPRISE 10.8 sans le dernier correctif de sécurité

Documentation

• Bulletin de sécurité SAP january-2026 du 13 janvier 2026
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
• Référence CVE CVE-2026-0491
https://www.cve.org/CVERecord?id=CVE-2026-0491
• Référence CVE CVE-2026-0492
https://www.cve.org/CVERecord?id=CVE-2026-0492
• Référence CVE CVE-2026-0493
https://www.cve.org/CVERecord?id=CVE-2026-0493
• Référence CVE CVE-2026-0494
https://www.cve.org/CVERecord?id=CVE-2026-0494
• Référence CVE CVE-2026-0495
https://www.cve.org/CVERecord?id=CVE-2026-0495
• Référence CVE CVE-2026-0496
https://www.cve.org/CVERecord?id=CVE-2026-0496
• Référence CVE CVE-2026-0497
https://www.cve.org/CVERecord?id=CVE-2026-0497
• Référence CVE CVE-2026-0498
https://www.cve.org/CVERecord?id=CVE-2026-0498
• Référence CVE CVE-2026-0499
https://www.cve.org/CVERecord?id=CVE-2026-0499
• Référence CVE CVE-2026-0500
https://www.cve.org/CVERecord?id=CVE-2026-0500
• Référence CVE CVE-2026-0501
https://www.cve.org/CVERecord?id=CVE-2026-0501
• Référence CVE CVE-2026-0503
https://www.cve.org/CVERecord?id=CVE-2026-0503
• Référence CVE CVE-2026-0504
https://www.cve.org/CVERecord?id=CVE-2026-0504
• Référence CVE CVE-2026-0506
https://www.cve.org/CVERecord?id=CVE-2026-0506
• Référence CVE CVE-2026-0507
https://www.cve.org/CVERecord?id=CVE-2026-0507
• Référence CVE CVE-2026-0510
https://www.cve.org/CVERecord?id=CVE-2026-0510
• Référence CVE CVE-2026-0511
https://www.cve.org/CVERecord?id=CVE-2026-0511
• Référence CVE CVE-2026-0513
https://www.cve.org/CVERecord?id=CVE-2026-0513
• Référence CVE CVE-2026-0514
https://www.cve.org/CVERecord?id=CVE-2026-0514