En bref

  • CVE-2026-27681 (CVSS 9.9) touche SAP Business Planning and Consolidation et Business Warehouse, avec exécution de SQL arbitraire par un utilisateur à faibles privilèges.
  • SAP a publié le correctif (Note 3719353) lors du Patch Day d'avril 2026 ; la CCB belge et l'ANSSI recommandent un déploiement immédiat.
  • Aucune exploitation in-the-wild confirmée à ce stade, mais la surface d'attaque ABAP reste une cible historique pour les groupes financiers.

Ce qui s'est passé

Le Patch Day SAP d'avril 2026 a livré 20 notes de sécurité, dominées par CVE-2026-27681 — une faille SQL injection dans un programme ABAP de Business Planning and Consolidation (BPC) et Business Warehouse (BW). Cotée 9.9 sur l'échelle CVSS, la vulnérabilité permet à un utilisateur authentifié, même à faibles privilèges, de déposer un fichier contenant des instructions SQL arbitraires qui seront ensuite exécutées directement contre la base de données.

Le vecteur technique repose sur une vérification d'autorisation insuffisante dans une fonctionnalité d'upload ABAP. Un attaquant disposant d'un compte standard peut charger un fichier crafted, contourner la couche d'application et manipuler directement les tables métier : lecture, modification, voire injection de procédures stockées. Les versions affectées couvrent HANABPC 810, BPC4HANA 300 et SAP_BW 750 à 816, soit la quasi-totalité des installations BW en production.

Le Centre for Cybersecurity Belgium (CCB) a émis un avis en priorité haute dès la publication de la note. SAP indique ne pas avoir observé d'exploitation active, mais précise qu'aucune condition d'exploitation exotique n'est requise : un compte applicatif compromis suffit. Le patch est disponible via la Note 3719353 pour les clients sous maintenance standard.

Pourquoi c'est important

SAP BPC et BW sont au cœur des processus de consolidation financière, de reporting groupe et de clôture comptable. Une injection SQL à ce niveau donne accès aux données les plus sensibles d'une entreprise : agrégats consolidés, prévisions, données salariales, structures juridiques. Contrairement à une faille dans un module exposé en front, CVE-2026-27681 touche un composant supposé être derrière plusieurs couches de contrôle, ce qui rend l'exploitation d'autant plus impactante lorsqu'elle survient.

Le profil de compte requis — low-privileged authenticated — rappelle que la surface d'attaque réelle inclut les comptes partenaires, consultants externes, et identités techniques d'interface. Dans la plupart des environnements SAP, plusieurs centaines de comptes répondent à ce critère. Les équipes GRC doivent traiter cette faille avec le même niveau d'urgence qu'une vulnérabilité non authentifiée, vu la densité de comptes répondant au seuil.

Ce qu'il faut retenir

  • Appliquer la Note SAP 3719353 en priorité P1 sur tous les systèmes BPC (HANABPC 810, BPC4HANA 300) et BW (SAP_BW 750-816).
  • Auditer les logs de la fonctionnalité d'upload ABAP concernée sur les 90 derniers jours pour détecter des payloads suspects.
  • Revoir la distribution des rôles à faibles privilèges : ce sont eux qui constituent la surface d'attaque réelle.

Mon tenant S/4HANA classique est-il concerné ?

CVE-2026-27681 cible spécifiquement les composants BPC et BW. S/4HANA Finance ou Logistics en standalone n'est pas affecté, sauf si le tenant intègre un module BW embarqué (eBW) ou une extension BPC. Dans le doute, l'outil SAP EarlyWatch Alert indique les modules BW/BPC détectés sur l'instance.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact