Le 14 juillet 2026, SAP a publié 16 notes de sécurité incluant trois failles critiques dans NetWeaver ABAP (CVSS 9.9), AppRouter et Commerce Cloud. Mise à jour immédiate requise.
En bref
- SAP a publié 16 notes de sécurité le 14 juillet 2026, dont trois failles critiques affectant NetWeaver ABAP, AppRouter et Commerce Cloud.
- La vulnérabilité la plus grave, CVE-2026-44747 (CVSS 9.9), provoque une corruption mémoire dans NetWeaver AS ABAP exploitable par un attaquant authentifié.
- Les entreprises utilisant SAP en production doivent prioriser immédiatement l'application des correctifs, notamment la SAP Note 3747367.
SAP publie 16 correctifs critiques pour le Patch Day de juillet 2026
Le 14 juillet 2026, SAP a publié son bulletin mensuel de sécurité incluant 16 nouvelles notes de sécurité, un advisory GitHub et trois mises à jour de notes antérieures. Parmi les corrections apportées ce mois-ci, trois vulnérabilités ont été classées critiques avec des scores CVSS supérieurs à 9.0, concernant des composants au cœur de l'infrastructure SAP utilisée par des milliers d'entreprises à travers le monde. Selon SecurityWeek et gbhackers, aucune de ces nouvelles failles n'est connue pour être activement exploitée au moment de la publication, mais l'historique récent des attaques ciblant SAP impose une réaction immédiate des équipes de sécurité.
La vulnérabilité la plus grave porte l'identifiant CVE-2026-44747 et atteint un score CVSS de 9.9 sur 10. Elle affecte SAP NetWeaver Application Server ABAP, le moteur d'exécution central des applications SAP ERP. En exploitant des erreurs logiques dans la gestion de la mémoire, un attaquant authentifié peut provoquer une corruption mémoire susceptible d'entraîner un accès non autorisé à des données sensibles, leur modification arbitraire, voire une indisponibilité totale du système. SAP a détaillé les versions de noyau concernées dans la note de sécurité 3747367 disponible sur le SAP ONE Support Launchpad. Le score CVSS 9.9 est particulièrement remarquable pour une vulnérabilité nécessitant une authentification préalable, ce qui illustre la gravité extrême de l'impact potentiel : une fois un compte SAP compromis, l'exploitation de cette faille pourrait permettre une prise de contrôle totale du serveur d'application.
La deuxième faille critique, CVE-2026-27690, affecte SAP AppRouter dans toutes les versions antérieures à 20.10 et atteint un score CVSS de 9.1. Il s'agit d'une vulnérabilité d'HTTP request smuggling exploitable à distance et sans authentification préalable. Ce type d'attaque manipule la façon dont les proxies et les serveurs interprètent les requêtes HTTP, permettant à un attaquant d'injecter des requêtes malveillantes dans les sessions d'autres utilisateurs, de contourner des contrôles de sécurité ou d'accéder à des ressources normalement protégées. SAP AppRouter est le composant central de routage dans les applications cloud SAP Business Technology Platform (BTP), ce qui étend la surface d'attaque à un large périmètre cloud. L'absence d'authentification requise pour l'exploitation rend cette faille particulièrement dangereuse dans les architectures où AppRouter est exposé sur Internet.
La troisième vulnérabilité critique, CVE-2026-44761 (CVSS 9.1), concerne SAP Commerce Cloud et résulte de la présence d'identifiants codés en dur dans des scripts de configuration exemples publiés dans le portail d'aide SAP. Ces scripts, initialement conçus pour les environnements de développement et de test, configurent des clients OAuth2 avec des credentials connus du grand public ayant accès à la documentation SAP. Un attaquant non authentifié peut exploiter ces informations d'identification pour obtenir un jeton d'accès valide, puis accéder à des données métier ou les modifier sans autorisation. SAP Commerce Cloud, utilisé par de nombreux acteurs du e-commerce B2B et B2C, représente une cible de choix pour des attaquants cherchant à exfiltrer des données ou à perturber des processus commerciaux critiques.
Parmi les 13 autres failles corrigées lors de ce Patch Day, plusieurs concernent SAP BusinessObjects, SAP S/4HANA et différents modules SAP BTP. Le bulletin mensuel de juillet 2026 totalise 16 nouvelles notes auxquelles s'ajoutent trois mises à jour rétroactives d'anciennes vulnérabilités. SAP a également signalé un advisory GitHub distinct couvrant des dépendances tierces intégrées à certains composants SAP Open Source.
Le contexte autour de ces correctifs est particulièrement préoccupant. Début 2026, une série d'attaques avait exploité CVE-2025-31324, une vulnérabilité zero-day dans SAP NetWeaver Visual Composer permettant des uploads de fichiers non authentifiés et le déploiement de webshells sur des dizaines de systèmes SAP exposés sur Internet. Des groupes APT avaient été rapidement identifiés parmi les acteurs exploitant cette faille avant même la publication des correctifs officiels. Cette crise a mis en évidence que les systèmes SAP accessibles depuis Internet constituent des cibles prioritaires pour les opérateurs de ransomware et les groupes d'espionnage, qui scrutent systématiquement les bulletins SAP pour développer des exploits ciblant les organisations qui tardent à patcher.
D'après diverses estimations issues de cabinets spécialisés en sécurité SAP, plusieurs dizaines de milliers d'instances SAP restent exposées directement sur Internet avec des contrôles d'accès réseau insuffisants. La combinaison d'une exploitation sans authentification pour CVE-2026-27690 et CVE-2026-44761, associée à un impact CVSS 9.9 pour CVE-2026-44747, fait du Patch Day SAP de juillet 2026 l'une des mises à jour les plus urgentes de l'année pour les équipes SAP Basis et les RSSI des grandes entreprises.
Pour CVE-2026-44747, les versions du noyau SAP ABAP concernées sont détaillées dans la note 3747367. Pour CVE-2026-27690, la mise à jour vers SAP AppRouter version 20.10 ou supérieure est impérative, en particulier pour les déploiements BTP accessibles depuis des zones DMZ ou Internet. Pour CVE-2026-44761, SAP recommande de supprimer tout script de configuration issu de la documentation officielle, de révoquer les clients OAuth2 configurés avec des credentials d'exemple et de procéder à un audit complet des permissions OAuth2 actives sur les instances Commerce Cloud de production.
Pourquoi ces failles SAP sont critiques pour les entreprises
SAP équipe les systèmes ERP de la grande majorité des entreprises du CAC 40 et du DAX, ainsi que des millions de PME à l'international. Les instances SAP NetWeaver, S/4HANA et Commerce Cloud hébergent les données les plus sensibles des organisations : données financières consolidées, informations RH et paie, plans stratégiques, données clients, chaîne logistique complète et données de production industrielle. Une compromission de ces systèmes peut engendrer un impact opérationnel catastrophique, avec des implications réglementaires majeures sous RGPD, DORA et NIS2.
Le score CVSS 9.9 pour CVE-2026-44747 doit être replacé dans son contexte : bien que la vulnérabilité nécessite une authentification préalable, les attaquants disposent de multiples vecteurs pour obtenir des credentials SAP valides. Le phishing ciblé d'administrateurs SAP Basis, l'extraction depuis des référentiels de mots de passe compromis, l'abus de comptes de service avec des mots de passe par défaut non modifiés, ou l'exploitation d'interfaces RFC/BAPI exposées sans authentification forte sont autant de moyens d'obtenir un premier accès. Une fois authentifié, CVE-2026-44747 ouvre la voie à l'exécution de code arbitraire et à la compromission complète du serveur d'application.
Le problème des identifiants hardcodés dans la documentation (CVE-2026-44761) illustre un antipattern récurrent dans les grandes suites logicielles d'entreprise : les équipes d'intégration reprennent des snippets de configuration issus de la documentation officielle sans les adapter aux exigences de production. Ces credentials ne changent pas entre les déploiements, sont accessibles à toute personne ayant consulté la documentation SAP, et peuvent rester actifs pendant des années sans jamais être détectés lors des audits de sécurité classiques.
La faille AppRouter (CVE-2026-27690) soulève un enjeu architectural pour les organisations ayant adopté SAP BTP. Dans ces environnements cloud-native, AppRouter constitue le point d'entrée unique pour l'ensemble des microservices et APIs SAP. Une exploitation réussie via HTTP request smuggling — sans authentification — pourrait permettre à un attaquant de contourner les mécanismes d'autorisation centraux, d'accéder à des APIs non exposées publiquement ou d'injecter des requêtes dans des sessions utilisateurs légitimes, affectant des processus métier automatisés critiques comme les workflows d'approbation financière ou les intégrations EDI avec des partenaires commerciaux.
Ce qu'il faut retenir
- Appliquer immédiatement la SAP Note 3747367 pour CVE-2026-44747 (CVSS 9.9) dans NetWeaver AS ABAP, en priorisant les instances exposées sur Internet ou en DMZ.
- Mettre à jour SAP AppRouter vers la version 20.10 ou supérieure pour corriger CVE-2026-27690, exploitable sans authentification sur les déploiements BTP.
- Auditer et révoquer tous les clients OAuth2 de SAP Commerce Cloud configurés avec des credentials issus des scripts d'exemple de la documentation officielle (CVE-2026-44761).
Comment identifier rapidement si mon instance SAP NetWeaver est vulnérable à CVE-2026-44747 ?
Connectez-vous au SAP ONE Support Launchpad et consultez la note de sécurité 3747367 qui liste précisément toutes les versions de noyau SAP ABAP affectées. Si vous n'avez pas d'accès direct au portail SAP, rapprochez-vous de votre équipe SAP Basis ou de votre partenaire SAP pour une vérification immédiate de la version en production. En attendant le correctif, renforcez les contrôles d'accès réseau sur les ports d'exposition des serveurs d'application et activez la journalisation exhaustive de toute activité anormale sur les comptes disposant de droits administratifs SAP, notamment les RFC destinations et les comptes de service applicatifs.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
OAuth client ID spoofing cible Entra ID sans déclencher d'alerte
Proofpoint révèle le 13 juillet 2026 une technique d'OAuth client ID spoofing permettant à des attaquants de valider des millions de credentials Microsoft Entra ID volés sans générer aucun événement visible dans les journaux.
ESET : 11 shims UEFI signés Microsoft bypassent Secure Boot
Le chercheur ESET Martin Smolár révèle le 14 juillet 2026 que 11 shims UEFI Linux signés par Microsoft permettaient de contourner Secure Boot, exposant au risque de déploiement de bootkits persistants.
CVE-2026-57092 : évasion de VM Hyper-V CVSS 9.9 dans Windows VMSwitch
CVE-2026-57092, use-after-free CVSS 9.9 dans Windows VMSwitch, permet à un attaquant peu privilégié d'escalader ses droits jusqu'à compromettre l'hôte Hyper-V depuis une VM guest. Patcher en priorité absolue.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire