S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 avril 2026
N° CERTFR-2026-AVI-0434
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2026-AVI-0434
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version14 avril 2026
Date de la dernière version14 avril 2026
Source(s) Bulletin de sécurité SAP april-2026 du 14 avril 2026

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection SQL (SQLi)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Business Analytics and Content Management versions S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604 et 608 sans le dernier correctif de sécurité
  • Business Planning and Consolidation and Business Warehouse versions HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758 et 816 sans le dernier correctif de sécurité
  • BusinessObjects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité
  • ERP and S/4 HANA (Private Cloud and On-Premise) versions SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605 et 606 sans le dernier correctif de sécurité
  • HANA Cockpit and HANA Database Explorer version SAP_HANA_COCKPIT 2.0 sans le dernier correctif de sécurité
  • Human Capital Management for S/4HANA versions S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604 et 608 sans le dernier correctif de sécurité
  • Landscape Transformation versions DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
  • Material Master Application versions S4CORE 102, 103, 104, 105, 106, 107, 108, 109, SCM_BASIS 700, SCM_BASIS 701, SCM_BASIS 702, SCM_BASIS 712, SCM_BASIS 713 et SCM_BASIS 714 sans le dernier correctif de sécurité
  • NetWeaver Application Server ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server ABAP versions SAP_UI 758 et 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server Java (Web Dynpro Java) version WD-RUNTIME 7.50 sans le dernier correctif de sécurité
  • S/4HANA (Private Cloud and On-Premise) versions S4CORE 105, 106, 107, 108, 109, FI-CA 606, 616, 617 et 618 sans le dernier correctif de sécurité
  • S/4HANA Backend OData Service (Manage Reference Structures) version S4CORE 109 sans le dernier correctif de sécurité
  • S/4HANA Frontend OData Service (Manage Reference Structures) version UIS4H 109 sans le dernier correctif de sécurité
  • S/4HANA OData Service (Manage Reference Equipment) version S4CORE 109 sans le dernier correctif de sécurité
  • S/4HANA OData Service (Manage Technical Object Structures) version S4CORE 109 sans le dernier correctif de sécurité
  • S4CORE (Manage Journal Entries) versions S4CORE 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
  • Supplier Relationship Management (SICF Handler in SRM Catalog) versions SRM_SERVER 702, 713 et 714 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 avril 2026
    Version initiale