SAP Patch Day juin 2026 : 4 CVE critiques sur NetWeaver

Ce qui s'est passé

SAP a publié son bulletin de sécurité mensuel le mardi 10 juin 2026, dans le cadre de son SAP Security Patch Day — l'équivalent pour l'éditeur allemand du Patch Tuesday de Microsoft. Ce cycle mensuel de publication de correctifs corrige cette fois 15 vulnérabilités de sécurité, dont quatre classées critiques avec des scores CVSS (Common Vulnerability Scoring System) allant de 9,0 à 9,9 sur 10. La gravité des failles découvertes ce mois-ci est parmi les plus élevées enregistrées lors d'un SAP Patch Day, selon les analystes de la société Onapsis, spécialisée dans la protection des systèmes SAP en production.

La faille la plus sévère de ce cycle est identifiée sous la référence CVE-2026-44748, avec un score CVSS de 9,9. Il s'agit d'une vulnérabilité de type XML Signature Wrapping (XSW) affectant SAP NetWeaver AS ABAP et l'ABAP Platform dans les environnements utilisant l'authentification SAML (Security Assertion Markup Language). Pour exploiter cette vulnérabilité, un attaquant ayant un accès authentifié standard peut intercepter un message SAML valide et signé, puis modifier la structure XML du document avant de le soumettre au vérificateur. En raison d'une validation incorrecte de la signature cryptographique sur la totalité du document, le système accepte le message altéré et accorde les droits correspondant à l'identité usurpée. Les conséquences potentielles incluent un contournement complet de l'authentification, une escalade de privilèges, un accès non autorisé à des données sensibles et une perturbation des opérations normales du système SAP.

La seconde vulnérabilité critique, CVE-2026-27671 (CVSS 9,8), est encore plus préoccupante car elle ne nécessite aucune authentification préalable. Il s'agit d'une faille de corruption mémoire dans le serveur d'applications SAP NetWeaver et l'ABAP Platform. Un attaquant distant non authentifié peut envoyer des requêtes RFC (Remote Function Call) spécialement forgées vers les endpoints vulnérables, en exploitant une validation incorrecte au niveau du kernel SAP pour corrompre la mémoire du processus cible. Dans les conditions d'exploitation les plus favorables pour l'attaquant, cette corruption mémoire peut aboutir à l'exécution de code arbitraire sur le serveur avec les privilèges du processus SAP. Aucune preuve de concept publique n'était disponible au moment de la publication de cet article, mais compte tenu du score CVSS et de la nature technique de la faille, son développement par des acteurs malveillants est attendu rapidement.

La troisième faille critique, CVE-2026-40128 (CVSS 9,0), affecte le Web Container de SAP NetWeaver Application Server Java. Il s'agit d'une vulnérabilité de traversée de répertoire (directory traversal) permettant à un attaquant de sortir du contexte d'application prévu et d'accéder à des fichiers système situés en dehors des répertoires autorisés. Ce type de vulnérabilité peut être utilisé pour exfiltrer des fichiers de configuration sensibles, des clés cryptographiques stockées sur le système de fichiers, ou pour préparer une escalade d'attaque vers une compromission plus profonde du serveur d'applications. Dans un environnement SAP exposé sur Internet ou accessible depuis un réseau de partenaires, l'exploitation de cette faille peut constituer la première étape d'une chaîne d'attaque plus complexe.

La quatrième vulnérabilité critique identifiée, CVE-2026-22732 (CVSS 9,1), est liée au composant Spring Security intégré dans SAP Commerce Cloud et SAP Data Hub. Spring Security est un framework Java d'authentification et d'autorisation très répandu dans l'écosystème Java d'entreprise. La faille dans la version SAP de ce composant permet, dans certaines conditions d'utilisation, un contournement des mécanismes d'autorisation, ouvrant potentiellement l'accès à des fonctionnalités ou données normalement protégées. SAP Commerce Cloud est utilisé par de nombreux grands groupes pour leurs plateformes e-commerce B2B et B2C, ce qui élargit considérablement la surface d'exposition et le nombre d'organisations potentiellement impactées.

Au-delà des quatre failles critiques, le Patch Day de juin 2026 comporte également 11 correctifs pour des vulnérabilités de sévérité haute et moyenne, affectant notamment SAP BusinessObjects, SAP S/4HANA, SAP BTP (Business Technology Platform) et SAP Fiori. Ces failles, bien que moins sévères individuellement, peuvent être utilisées en combinaison avec les vulnérabilités critiques dans le cadre d'attaques en chaîne pour maximiser l'impact global sur les systèmes compromis.

La société SOCRadar, qui analyse systématiquement les bulletins SAP, a qualifié CVE-2026-44748 de "risque immédiat pour toutes les entreprises utilisant SAML dans leurs environnements NetWeaver". Cette déclaration reflète l'urgence de la situation : SAML est massivement déployé dans les grandes entreprises pour la fédération d'identité entre SAP et leurs systèmes d'authentification centraux (Active Directory, Azure AD, Okta, etc.). Une faille d'authentification SAML dans SAP NetWeaver touche donc directement le périmètre d'identité des organisations les plus exposées, avec un risque d'usurpation d'identité administrative particulièrement critique.

Pour les entreprises utilisant les produits concernés, SAP recommande d'appliquer les Security Notes correspondantes via SAP One Support Launchpad dans les meilleurs délais. La priorisation doit aller à CVE-2026-44748 et CVE-2026-27671, en raison de leurs scores CVSS proches du maximum et de leur facilité d'exploitation relative. Les équipes SAP Basis et les équipes de sécurité des systèmes SAP doivent coordonner en urgence l'application des patches, en tenant compte des contraintes de disponibilité des systèmes de production et des fenêtres de maintenance planifiées. L'historique de l'exploitation des vulnérabilités SAP NetWeaver est instructif : en 2025, une vulnérabilité critique avait été exploitée en masse dans les jours suivant la publication du correctif, illustrant la rapidité avec laquelle les acteurs malveillants intègrent les nouvelles failles SAP dans leurs opérations.

Pourquoi c'est important

SAP NetWeaver est le socle technique sur lequel reposent les systèmes ERP (Enterprise Resource Planning) de plusieurs milliers des plus grandes entreprises mondiales. Ces systèmes sont le centre névralgique des opérations business : facturation, gestion des stocks, ressources humaines, supply chain, conformité financière. Une compromission d'un système SAP NetWeaver ne représente pas seulement un risque informatique ; elle met en danger la continuité opérationnelle et la confidentialité de données business critiques, souvent soumises à des obligations réglementaires strictes comme les données comptables, les données personnelles ou les secrets industriels.

Les systèmes SAP sont des cibles de choix pour les groupes d'attaquants avancés (APT), particulièrement ceux motivés par l'espionnage économique. Plusieurs acteurs de la menace parrainés par des États ont été documentés dans des campagnes ciblant spécifiquement les systèmes SAP NetWeaver. La raison est simple : un serveur SAP compromis donne accès à la totalité de la chaîne de valeur d'une entreprise — données clients, contrats, marges, projets en cours, relations fournisseurs. L'attractivité de ces systèmes comme cible primaire ne devrait que croître à mesure que les preuves de concept pour les nouvelles vulnérabilités critiques circulent dans les communautés de chercheurs et d'acteurs malveillants.

La fenêtre temporelle entre la publication des correctifs et leur exploitation effective par des acteurs malveillants se réduit d'année en année. Selon les données de la société Rapid7, le délai moyen d'exploitation d'une vulnérabilité critique SAP après publication du patch est passé de 45 jours en 2022 à moins de 10 jours en 2025. Pour des failles de niveau CVSS 9,8 ou 9,9, ce délai peut être encore inférieur, particulièrement lorsque des preuves de concept sont développées rapidement par la communauté de recherche en sécurité. Les organisations disposant de systèmes SAP en production doivent donc traiter ces patchs avec la même urgence qu'une vulnérabilité zero-day activement exploitée.

Du point de vue de la conformité réglementaire, les systèmes SAP hébergeant des données financières sont soumis à des exigences strictes dans le cadre du DORA (Digital Operational Resilience Act) pour les institutions financières européennes, entré pleinement en vigueur depuis janvier 2025. DORA impose notamment des exigences de gestion des vulnérabilités et de notification des incidents ICT significatifs dans des délais contraints. Une compromission de système SAP résultant d'une faille non patchée en temps voulu pourrait engager la responsabilité des RSSI et directeurs informatiques au titre de ces réglementations, avec des sanctions potentiellement significatives pour les établissements financiers concernés.

Ce qu'il faut retenir

• Prioriser l'application des Security Notes SAP pour CVE-2026-44748 (CVSS 9,9) et CVE-2026-27671 (CVSS 9,8) dans les 48 à 72 heures suivant leur publication, idéalement avant le week-end.
• Les environnements SAP NetWeaver utilisant SAML pour la fédération d'identité SSO sont les plus exposés à CVE-2026-44748 et doivent être traités en priorité absolue dans le plan de patch management.
• Activer une surveillance renforcée des logs SAP (transactions SM21, SM37, Security Audit Log) pendant toute la période précédant l'application des correctifs pour détecter toute tentative d'exploitation.