S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 mai 2026
N° CERTFR-2026-AVI-0567
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2026-AVI-0567
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version12 mai 2026
Date de la dernière version12 mai 2026
Source(s) Bulletin de sécurité SAP may-2026 du 12 mai 2026

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Injection SQL (SQLi)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Application Server ABAP for NetWeaver and ABAP Platform versions SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • Business Server Pages Application (TAF_APPLAUNCHER) versions ST-PI 740 et 758 sans le dernier correctif de sécurité
  • BusinessObjects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité
  • Commerce Cloud (Apache Log4j) versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21 sans le dernier correctif de sécurité
  • Commerce cloud versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21 sans le dernier correctif de sécurité
  • Financial Consolidation version FINANCE 1010 sans le dernier correctif de sécurité
  • Forecasting & Replenishment versions SCM 702, 712, 713 et 714 sans le dernier correctif de sécurité
  • HANA Deployment Infrastructure (HDI) deploy library version XS_HDI_DEPLOYER 1.00 sans le dernier correctif de sécurité
  • Incentive and Commission Management versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 604, 605, 606 et 617 sans le dernier correctif de sécurité
  • NetWeaver Application Server ABAP (Applications based on Business Server Pages) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816 et SAP_BASIS 918 sans le dernier correctif de sécurité
  • NetWeaver Application Server for ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • S/4HANA (Enterprise Search for ABAP) versions SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • S/4HANA Condition Maintenance versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
  • SAPUI5 (Search UI) versions SAPUI5 1.108, 1.120, 1.136, 1.142, 1.71, 1.84 et 1.96 sans le dernier correctif de sécurité
  • Strategic Enterprise Management (BSP application Balanced Scorecard Wizard) versions SEM-BW 605, 700, 736, 746, 747, 748, 749 et 800 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 mai 2026
    Version initiale