CVE-2026-34260 : SQLi critique SAP S/4HANA Enterprise (9.6)

Les faits

SAP a publié le 12 mai 2026, dans le cadre de son Security Patch Day mensuel, la Security Note #3724838 corrigeant la vulnérabilité CVE-2026-34260. Cette faille, classée Hot News par SAP — niveau de criticité maximal réservé aux vulnérabilités les plus dangereuses — affecte le composant SAP Enterprise Search for ABAP, intégré nativement à SAP S/4HANA, et reçoit un score CVSS v3.1 de 9.6 avec un vecteur AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Le caractère « Scope Changed » du vecteur reflète la capacité de l'attaquant à pivoter au-delà du contexte applicatif initial pour atteindre la base de données SAP HANA sous-jacente.

La vulnérabilité technique correspond à une injection SQL classique provoquée par une concaténation directe d'entrées contrôlées par l'utilisateur dans des requêtes SQL natives passées au moteur HANA. Le composant Enterprise Search expose plusieurs endpoints ABAP — accessibles via le SAP GUI, le portail Fiori et les API OData associées — chargés de traiter les requêtes de recherche transversale sur les données métier (clients, articles, commandes, factures, employés). L'un de ces endpoints construit dynamiquement la clause de filtrage SQL transmise à HANA sans appliquer les mécanismes de paramétrage ou d'échappement standards du framework ABAP, permettant à un utilisateur disposant d'un compte SAP valide d'injecter du code SQL arbitraire dans les requêtes exécutées par le serveur d'application.

D'après l'analyse publiée par Onapsis, SecurityWeek et Cyberpress, l'exploitation nécessite un compte SAP authentifié — d'où le PR:L (Privileges Required: Low) du vecteur CVSS — mais ne requiert aucun privilège particulier au-delà du droit d'utiliser la fonction de recherche, accordé par défaut à la quasi-totalité des utilisateurs business dans les installations standard. Concrètement, un opérateur back-office, un commercial ou un utilisateur RH disposant d'un accès SAP nominal peut, sans escalation préalable, injecter une requête SQL extraite vers n'importe quelle table de la base HANA accessible au compte technique du serveur d'application — soit, en pratique, l'intégralité du référentiel métier.

SAP indique dans la note de sécurité que le périmètre de l'exploitation se limite à un accès en lecture aux données via la connexion technique d'Enterprise Search au cœur HANA, ce qui exclut une modification directe ou une suppression de données via cette CVE spécifique. Toutefois, cette nuance ne réduit que faiblement la gravité réelle : l'exposition couvre l'intégralité des données financières, RH, commerciales et logistiques contenues dans le SAP, y compris les tables sensibles BSEG (postes comptables), KNA1 (clients), LFA1 (fournisseurs), PA0008 (rémunérations salariés), et toutes les tables Z personnalisées du client. Pour de nombreuses organisations, cette extraction constitue une violation directe du RGPD, de la loi Sapin 2, et des obligations contractuelles vis-à-vis des partenaires.

SAP Enterprise Search est un composant central de SAP S/4HANA, présent dans la quasi-totalité des installations livrées depuis 2020. Il est intégré aux interfaces Fiori, à SAP GUI, à SAP Business Client, et exposé via OData pour les intégrations tierces. Son périmètre fonctionnel — la recherche transverse — implique des droits d'accès étendus aux objets métier, ce qui amplifie la portée de toute injection SQL réussie. Selon Onapsis, le déploiement de Enterprise Search est activé par défaut sur plus de 90 % des installations SAP S/4HANA en production, sans configuration explicite requise pour l'activation.

Les versions affectées listées par SAP couvrent l'intégralité des releases supportées de SAP S/4HANA on-premise (1709, 1809, 1909, 2020, 2021, 2022, 2023, 2024, 2025) ainsi que SAP S/4HANA Private Cloud Edition. SAP S/4HANA Cloud Public Edition n'est pas affectée selon l'éditeur, le composant Enterprise Search y étant servi par une infrastructure managée et déjà mise à jour côté éditeur. Les installations SAP NetWeaver utilisant le composant Enterprise Search en mode autonome (sans S/4HANA) sont également concernées et reçoivent la même Security Note de référence.

Le correctif est distribué via le SAP Service Marketplace sous la Security Note #3724838, accompagnée d'instructions précises de patching pour chaque release. Le déploiement implique généralement l'application d'un Support Package ou d'un Note implementation via SNOTE, suivi d'un redémarrage du serveur d'application ABAP. Pour les organisations sous contrat SAP Enterprise Support, l'accompagnement à la planification du déploiement est couvert ; les autres doivent se référer au guide de bonnes pratiques publié par Onapsis le 12 mai 2026, soulignant la criticité maximale de ce patch dans le cycle de mai.

Aucune exploitation in-the-wild n'est confirmée à la date du 13 mai 2026, et aucun PoC public n'a circulé sur les forums underground ou les feeds de threat intelligence. CERT-FR n'a pas publié d'avis dédié, mais SAP — via sa division SAP Security Patch Day — classe cette CVE en Hot News, sa catégorie de plus haute priorité réservée historiquement aux vulnérabilités les plus exploitées par les groupes APT ciblant les ERP (notamment Cobalt Group, FIN6, et plusieurs collectifs étatiques chinois et iraniens documentés par Mandiant et CrowdStrike).

Impact et exposition

L'exposition organisationnelle est très large : SAP S/4HANA est déployé dans la majorité des grandes entreprises et ETI françaises, notamment dans les secteurs industriels, financiers, distribution, et public. Le composant Enterprise Search étant activé par défaut, toute organisation utilisant S/4HANA on-premise ou en cloud privé doit considérer son installation comme vulnérable jusqu'à application explicite de la Security Note #3724838. Les déploiements multi-instance (production, qualité, développement) doivent tous être patchés, le risque résidant aussi sur les environnements hors production qui contiennent souvent des copies de données réelles.

Le profil d'attaquant nécessaire est très bas : un compte SAP nominal, fourni à des milliers d'utilisateurs internes dans une grande entreprise, suffit à exploiter la faille. Le scénario le plus probable est celui d'un employé malveillant ou d'un compte SAP compromis par phishing — vecteur d'entrée classique sur les environnements SAP — exploitant CVE-2026-34260 pour exfiltrer massivement des données business. Le scénario externe (attaquant non authentifié) ne s'applique pas directement, mais la combinaison de cette CVE avec une faille de credential stuffing, un compte SAP par défaut non désactivé, ou une fuite de mots de passe sur le dark web rétablit la chaîne d'attaque complète.

Le risque réglementaire est particulièrement élevé : une exfiltration des données salariées (table PA0008), clients (KNA1) ou bancaires (BSEG) constitue une violation RGPD majeure, exposant l'organisation à des amendes pouvant atteindre 4 % du chiffre d'affaires mondial. Pour les entreprises soumises à NIS2 ou à des obligations sectorielles (banque, santé, infrastructures critiques), l'obligation de notification s'applique également. Le coût moyen d'un incident SAP atteignant les données salariées est estimé à 4,5 millions d'euros selon le rapport Ponemon 2025, hors amendes réglementaires.

La surface d'attaque interne est massive : dans une entreprise moyenne de 5 000 salariés équipée de S/4HANA, on compte typiquement entre 2 000 et 4 000 comptes SAP actifs, dont l'immense majorité dispose des droits d'accès au moteur de recherche Enterprise Search. Tout compte compromis devient un point d'entrée pour l'exfiltration massive de la base ERP. Aucune exploitation in-the-wild n'est confirmée, mais les groupes APT spécialisés dans les ERP sont historiquement très rapides à intégrer ce type de CVE à leur arsenal (Onapsis a documenté plusieurs cas d'exploitation de CVE SAP en moins de 72 heures après publication).

Recommandations immédiates

• Appliquer sans délai la SAP Security Note #3724838 publiée le 12 mai 2026 sur tous les environnements SAP S/4HANA (production, qualité, intégration, formation) — référence à valider auprès du SAP Service Marketplace selon la release exacte.
• Si l'application immédiate du patch n'est pas possible, désactiver temporairement le composant Enterprise Search via la transaction SPRO ou restreindre l'autorisation S_ESH_SRCH aux seuls profils ayant un besoin métier confirmé.
• Auditer les logs SAP Security Audit Log (SM20) sur les 30 derniers jours à la recherche de requêtes Enterprise Search anormales : volumes inhabituellement élevés, paramètres contenant des caractères SQL suspects (apostrophes, mots-clés UNION, SELECT, etc.).
• Renforcer la supervision des comptes SAP : authentification multifacteur obligatoire via SAP Single Sign-On ou IdP externe, revue des comptes inactifs, rotation des mots de passe par défaut (SAP*, DDIC).
• Activer la journalisation détaillée des requêtes Enterprise Search dans la table /USR/ENTERPRISE_SEARCH_LOG (paramètre à activer manuellement) pour disposer d'indicateurs de compromission a posteriori.
• Suivre les publications complémentaires d'Onapsis et de SAP CERT pour toute évolution de l'avis (apparition d'exploitation in-the-wild, PoC public, ou découverte de variantes).