En bref

  • CVE-2026-0488 (CVSS 9.9) : injection SQL post-authentification dans le Scripting Editor de SAP CRM et SAP S/4HANA, permettant à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires sur la base de données d'entreprise.
  • Le défaut résulte d'un défaut d'autorisation (CWE-862) sur un appel à un module fonctionnel générique, qui peut être détourné pour atteindre une compromission totale de la base.
  • Action urgente : appliquer le SAP Security Note 3697099 du Patch Day SAP, restreindre l'accès au Scripting Editor, et auditer les versions S4FND 102-109, SAP_ABA 700, WEBCUIF 700 à 801.

Les faits

CVE-2026-0488 est une vulnérabilité critique d'injection SQL affectant le composant Scripting Editor de SAP CRM et SAP S/4HANA, divulguée par SAP lors de son Patch Day mensuel et corrigée via le SAP Security Note référencé 3697099. Le score CVSS v3.1 attribué est de 9.9 — l'un des scores les plus élevés du Patch Day SAP de l'année — avec un vecteur AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H reflétant une exploitabilité réseau, faible complexité, privilèges utilisateur authentifié seulement, sans interaction, et un changement de scope avec impact élevé sur la confidentialité, l'intégrité et la disponibilité.

La cause racine identifiée par SAP est un manque de contrôle d'autorisation (CWE-862, Missing Authorization) sur un appel à un module fonctionnel générique du Scripting Editor. Concrètement, un utilisateur authentifié — y compris un compte applicatif standard, un consultant fonctionnel ou un développeur ABAP avec des droits limités — peut invoquer ce module fonctionnel sans que le système ne vérifie qu'il dispose des objets d'autorisation requis pour les opérations sous-jacentes, et déclencher l'exécution d'une requête SQL construite à partir de paramètres qu'il contrôle directement.

Le Scripting Editor est un composant historique de l'écosystème SAP CRM et S/4HANA, utilisé pour la définition de scripts métier (typiquement des règles de workflow, des contrôles de cohérence sur les ordres de vente, des routines de calcul de marge) écrits dans une syntaxe dérivée d'ABAP. Cette fonctionnalité est généralement accessible aux fonctions de paramétrage métier (key users, consultants), pas aux utilisateurs finaux, mais dans la pratique de nombreux clients SAP n'appliquent pas de séparation stricte entre ces rôles, augmentant significativement la surface d'attaque interne.

Le scénario d'exploitation typique est le suivant : l'attaquant — utilisateur authentifié sur le système SAP — invoque le module fonctionnel vulnérable via une RFC, un service Gateway, ou directement via la transaction du Scripting Editor. Il fournit un paramètre crafté contenant une charge SQL malveillante. Le module exécute la requête sans contrôle d'autorisation préalable, donnant à l'attaquant la possibilité de lire les tables sensibles (BSEG, USR02, BKPF, KNA1, LFA1), de modifier des écritures comptables, ou dans le cas le plus extrême d'élever ses privilèges en injectant des entrées dans les tables de gestion des autorisations (AGR_USERS, AGR_AGRS).

L'aspect le plus préoccupant est le scope:Changed de la CVSS, indicateur que l'exploitation dépasse le périmètre du composant vulnérable lui-même. SAP S/4HANA est en effet le cœur opérationnel des grandes entreprises qui l'ont adopté : finance, contrôle de gestion, achats, ventes, logistique, RH paie selon les modules activés. Une compromission de la base SAP HANA sous-jacente expose donc l'ensemble du référentiel d'entreprise — données clients, fournisseurs, employés, écritures comptables, prix de revient, contrats — avec un impact business et réglementaire majeur (RGPD, SOX, normes comptables).

Versions affectées identifiées par SAP : S4FND 102 à 109 (S/4HANA Foundation), SAP_ABA 700 (Application Basis), et WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801 (Web Client UI Framework utilisé par CRM et S/4HANA). Cette diversité de composants reflète l'historique modulaire de SAP et signifie que la majorité des installations CRM/S/4HANA des dix dernières années sont concernées, indépendamment de la version SAP de référence (Suite on HANA ou S/4HANA standard).

SAP n'a pas confirmé d'exploitation in-the-wild au moment de la publication, conformément à sa politique de communication sécurisée. Néanmoins, les analystes de Onapsis et Pathlock ont noté que le profil de la vulnérabilité — authentification requise mais privilèges minimaux, exploitabilité réseau, score 9.9 — la rend extrêmement attractive pour les attaquants ayant déjà obtenu un accès initial à l'environnement SAP via phishing, vol de credentials ou compromission d'un poste de consultant. Le délai entre divulgation et exploitation pour ce type de vulnérabilité SAP avec authentification se compte historiquement en semaines.

Les éditeurs spécialisés en sécurité SAP (Onapsis, Pathlock, SecurityBridge) ont émis des recommandations concordantes : appliquer immédiatement le Security Note 3697099, mais aussi auditer rétroactivement les exécutions du Scripting Editor sur les 90 derniers jours pour détecter toute utilisation suspecte. La transaction SM20 (Security Audit Log) et les logs HANA des requêtes exécutées sur les tables sensibles sont les principales sources d'investigation à mobiliser.

Impact et exposition

L'exposition concerne les milliers d'instances SAP CRM et S/4HANA déployées dans les grandes entreprises et ETI à travers le monde — France comprise, où SAP S/4HANA équipe une part significative des sociétés du CAC 40 et des grandes administrations. Tout système avec un composant SAP_ABA 700, WEBCUIF dans les versions listées, ou S4FND 102 à 109 est potentiellement vulnérable, indépendamment de l'usage actif du Scripting Editor : la simple présence du module fonctionnel défaillant suffit.

Le profil d'attaquant requis est tout utilisateur authentifié du système SAP. Dans une instance d'entreprise typique, cela représente plusieurs centaines à plusieurs milliers de comptes : employés, consultants externes, prestataires d'intégration, comptes techniques d'interfaces, comptes de service. La probabilité qu'au moins un de ces comptes soit compromis (phishing, stealer, credential stuffing) sur une fenêtre de 12 mois est élevée, ce qui transforme CVE-2026-0488 en une vulnérabilité d'amplification critique : ce qui était un compte utilisateur lambda devient une porte ouverte sur l'ensemble du référentiel comptable et opérationnel.

Les implications réglementaires sont lourdes. La compromission de la base SAP S/4HANA expose des données personnelles (RGPD), des données financières soumises au contrôle interne (SOX pour les filiales américaines), des données fiscales, et potentiellement des données de santé pour les organisations du secteur. Une exploitation effective non détectée pendant plusieurs mois peut avoir des conséquences significatives en termes de notification d'incident, de pénalités réglementaires et d'impact réputationnel.

Au-delà du vol de données, le risque de fraude financière directe mérite une attention particulière : un attaquant capable d'exécuter du SQL arbitraire sur la base S/4HANA peut modifier des écritures comptables, altérer des conditions de paiement, créer des fournisseurs fictifs, ou détourner des paiements en modifiant les coordonnées bancaires des bénéficiaires. Ces scénarios ont déjà été observés sur des compromissions SAP antérieures et représentent un risque opérationnel direct, distinct du vol de données plus classique.

Recommandations immédiates

  • Appliquer immédiatement le SAP Security Note 3697099 sur les composants S4FND, SAP_ABA et WEBCUIF affectés (advisory SAP Patch Day, sans lien externe). Coordonner avec les équipes Basis pour intégrer le note dans la prochaine fenêtre de maintenance, en priorité absolue.
  • En attendant le déploiement complet : restreindre l'accès au Scripting Editor via les objets d'autorisation S_DEVELOP et S_SCR_CTRL aux seuls utilisateurs strictement nécessaires (administrateurs, consultants fonctionnels habilités).
  • Activer le Security Audit Log (transaction SM19/SM20) sur les filtres « accès aux modules de scripting » et « exécution de RFC fonctionnelle » pour tracer toute tentative d'exploitation.
  • Auditer rétroactivement les 90 derniers jours d'exécution du Scripting Editor et les requêtes HANA suspectes sur les tables sensibles (USR02, AGR_USERS, BSEG, KNA1, LFA1).
  • Faire tourner les credentials des comptes techniques disposant de droits étendus dans SAP, en particulier les comptes utilisés par les interfaces RFC et les outils de monitoring tiers.
  • Indicateurs de compromission : exécutions inhabituelles du Scripting Editor en dehors des heures ouvrées, requêtes SQL contenant des opérations DDL ou modifications de tables d'autorisation, créations soudaines de comptes utilisateurs avec rôles SAP_ALL ou équivalents.

⚠️ Urgence

CVSS 9.9 avec scope Changed et exploitation par tout utilisateur authentifié. Aucune exploitation in-the-wild publiquement confirmée à ce stade, mais le profil d'amplification massive (compte utilisateur lambda → compromission totale de la base S/4HANA) en fait une cible prioritaire pour les attaquants déjà présents dans le réseau. Le patching ne peut pas attendre la fenêtre de maintenance trimestrielle classique.

Comment savoir si je suis vulnérable ?

Vérifiez les versions installées via la transaction SAP SPAM ou SAINT et consultez les composants S4FND, SAP_ABA et WEBCUIF. Toute version listée dans le SAP Security Note 3697099 (S4FND 102 à 109, SAP_ABA 700, WEBCUIF 700 à 801) est potentiellement vulnérable. Le scanner Onapsis ou SecurityBridge automatise cette vérification sur l'ensemble du paysage SAP. Pour une vérification manuelle rapide, exécutez le rapport ABAP RSPATCH_INFO ou interrogez la table CVERS avec les composants ciblés.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit