CVE-2026-27681 : injection SQL critique SAP BPC/BW (9.9)

Les faits

SAP a publié lors de son Patch Day d'avril 2026 un correctif pour la CVE-2026-27681, une vulnérabilité d'injection SQL critique affectant SAP Business Planning and Consolidation (BPC) et SAP Business Warehouse (BW). Avec un score CVSS de 9.9 sur 10, il s'agit de la faille la plus sévère corrigée ce mois-ci par l'éditeur allemand. La vulnérabilité est causée par des contrôles d'autorisation insuffisants dans un programme ABAP qui permet à un utilisateur authentifié disposant de privilèges limités d'uploader un fichier contenant des instructions SQL arbitraires. Ces instructions sont ensuite exécutées directement par le système sans validation ni filtrage. La découverte a été signalée par des chercheurs de Positive Technologies et confirmée par le CCB belge (Centre for Cybersecurity Belgium) qui a émis un avis d'alerte spécifique. Le CERT-FR a également relayé cette information dans son bulletin d'actualité CERTFR-2026-ACT-017.

Les versions affectées incluent HANABPC 810, BPC4HANA 300 et SAP_BW versions 750, 752, 753, 754, 755, 756, 757, 758 et 816. Cette surface d'attaque étendue touche une large base d'installations SAP à travers le monde, notamment dans les secteurs bancaire, industriel et de la grande distribution où SAP BPC est déployé pour la consolidation financière et la planification budgétaire.

Impact et exposition

L'exploitation de cette vulnérabilité permet à un attaquant disposant d'un simple compte utilisateur SAP de prendre le contrôle total de la base de données sous-jacente. Les conséquences potentielles sont catastrophiques pour les organisations concernées : exfiltration massive de données financières confidentielles, modification de données comptables et de consolidation, suppression de tables critiques entraînant un déni de service, et potentiellement une escalade vers l'infrastructure sous-jacente selon la configuration de la base de données. Le score CVSS de 9.9 reflète l'impact maximal sur la confidentialité, l'intégrité et la disponibilité du système. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un compte à faibles privilèges, un niveau d'accès que possèdent souvent des centaines d'utilisateurs dans les grandes organisations. Les entreprises ayant déjà subi des attaques par injection SQL, comme celles documentées dans notre analyse de la CVE-2026-21643 dans FortiClient EMS ou la CVE-2026-3094 dans GitLab, savent que ce type de faille est systématiquement exploité par les groupes APT ciblant les ERP.

Recommandations immédiates

• Appliquer la Security Note SAP 3719353 sans délai via SAP Support Portal — cette note corrige les contrôles d'autorisation manquants dans le programme ABAP vulnérable
• Auditer les logs d'upload de fichiers dans les modules BPC et BW pour détecter d'éventuelles tentatives d'exploitation antérieures au patch
• Restreindre temporairement les droits d'upload dans les transactions BPC concernées en attendant l'application du correctif
• Vérifier la configuration des autorisations ABAP pour limiter l'accès aux fonctions d'import de fichiers aux seuls utilisateurs légitimes
• Mettre en place une surveillance renforcée des requêtes SQL inhabituelles sur la base HANA ou la base BW sous-jacente