SAP Commerce Cloud CVE-2026-34263 : RCE sans auth (CVSS 9.6)

Les faits

SAP a publié le 13 mai 2026 dans le cadre de son Patch Day mensuel quinze Security Notes dont deux critiques. La plus sévère concerne CVE-2026-34263, une vulnérabilité de type missing authentication check dans SAP Commerce Cloud, anciennement Hybris. Le score CVSS de 9.6 reflète une exploitation à distance, sans authentification, sans interaction utilisateur, et avec un impact significatif sur la confidentialité et l'intégrité du système attaqué.

La cause racine est une configuration Spring Security incorrectement ordonnée. Concrètement, les règles d'autorisation déclarées dans le bean de configuration HTTP utilisent des patterns trop permissifs, et l'ordre de matching laisse l'endpoint d'upload de configuration accessible sans authentification préalable. La règle catch-all permitAll() est évaluée avant les règles restrictives ciblant /backoffice/import, ce qui ouvre la porte à un upload arbitraire de fichier de configuration ImpEx.

Le format ImpEx est le langage propriétaire de SAP Commerce permettant de charger en masse des données et des configurations dans le catalogue produit, le système de droits, ou les pipelines de promotions. Un attaquant qui réussit à pousser un fichier ImpEx malveillant peut redéfinir des règles de pricing, créer des comptes administrateurs, modifier le catalogue produit, ou — point critique — déclencher l'exécution de code Java arbitraire lorsqu'un utilisateur légitime visualise la configuration injectée. Le scénario aboutit à une RCE complète sur le serveur Commerce Cloud.

Affectées : les versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21. Le périmètre couvre l'ensemble des déploiements on-premise, les instances PaaS gérées par SAP et les déploiements custom hébergés chez les principaux hyperscalers. Les correctifs sont disponibles via SAP Support Portal sous les Security Notes 3559876 et associés. Aucun workaround officiel ne permet de mitiger durablement la faille sans patch : SAP recommande au minimum de bloquer en amont toute requête vers /backoffice/import depuis Internet ouvert et de mettre l'admin uniquement derrière VPN ou WAF restrictif.

L'agence belge CCB et le CSA Singapour ont émis des bulletins d'alerte dès le 14 mai. Aucune exploitation publique active n'est documentée à ce stade, mais la combinaison d'un CVSS 9.6, d'un point d'entrée HTTP simple et d'un produit déployé chez des grands retailers, constructeurs automobiles et opérateurs B2B fait de cette faille une cible privilégiée pour les ransomwares opportunistes et les groupes de cyber-espionnage économique.

Du côté français, les déploiements SAP Commerce concernent typiquement les acteurs du retail spécialisé, de la distribution, de la VPC et de la grande consommation industrielle. Les plateformes e-commerce critiques de plusieurs CAC 40 sont historiquement bâties sur Hybris/Commerce. La fenêtre de patch est donc serrée et le coût d'un incident dépasse largement le pur enjeu IT : interruption de service vendeur, exposition de données clients, atteinte à la marque.

L'analyse Pathlock du 13 mai 2026 indique que plus de 70 % des installations Commerce Cloud disposent encore d'un endpoint backoffice exposé publiquement, héritage d'architectures historiques où les outils d'administration étaient accessibles sur le même DNS que le storefront. Cette configuration multiplie le risque d'exploitation immédiate dès qu'un PoC public sera disponible.

Les Security Notes SAP du même Patch Day adressent également CVE-2026-34260, une SQL injection critique dans SAP S/4HANA Enterprise, déjà couverte dans nos pages. La combinaison des deux corrections nécessite une fenêtre de maintenance coordonnée pour les organisations qui exploitent simultanément Commerce Cloud et S/4HANA.

Impact et exposition

Toute plateforme e-commerce reposant sur SAP Commerce Cloud avec backoffice accessible sans isolation réseau forte. Le rayon d'impact inclut la compromission complète du serveur Java sous-jacent, l'exfiltration de la base produits et clients, et l'utilisation du serveur comme pivot vers le SI interne via les connecteurs ERP et CRM.

Recommandations

• Appliquer immédiatement les Security Notes SAP de mai 2026 pour Commerce Cloud.
• Vérifier que l'endpoint /backoffice et tous ses sous-chemins ne sont pas exposés sur Internet ouvert. Restriction par IP ou VPN obligatoire.
• Activer le logging sur les requêtes POST vers /backoffice/import et auditer rétroactivement les 60 derniers jours.
• Vérifier l'intégrité des fichiers de configuration ImpEx récemment importés : règles de pricing, comptes admin, scripts de promotion.
• Coordonner la fenêtre de patch avec le correctif S/4HANA CVE-2026-34260 si les deux produits coexistent.