CVE-2026-44748 : Bypass SAML SAP NetWeaver CVSS 9.9

Les faits

Le 10 juin 2026, SAP a publié son Security Patch Day mensuel incluant 18 correctifs, dont un marqué HotNews — la classification d’urgence maximale chez SAP. CVE-2026-44748 est une vulnérabilité de type XML Signature Wrapping (XSW) dans le composant d’authentification SAML de SAP NetWeaver Application Server ABAP et de l’ABAP Platform. Son score CVSS v3.1 atteint 9.9 (Critical), avec un vecteur d’attaque réseau, une complexité faible et aucune interaction utilisateur nécessaire. Il s’agit de la faille la plus critique du Patch Day de juin 2026, selon les analyses de Onapsis, Layer Seven Security et SOCRadar.

Techniquement, CVE-2026-44748 repose sur un défaut de validation dans la vérification des signatures XML des assertions SAML. SAML (Security Assertion Markup Language) est le protocole utilisé par SAP pour les scénarios d’authentification unique (SSO) avec des fournisseurs d’identité externes comme Microsoft Azure AD, Okta ou ADFS. Lors de la réception d’une assertion SAML, le système SAP doit vérifier que la signature cryptographique couvre l’intégralité de l’assertion. CVE-2026-44748 permet à un attaquant disposant d’un accès authentifié à faibles privilèges de manipuler la structure XML d’une assertion SAML valide sans invalider sa signature, puis de soumettre ce document modifié que le système SAP accepte en raison d’un traitement incorrect des éléments non signés.

La technique XSW (XML Signature Wrapping) consiste à injecter un nœud XML supplémentaire contenant des données contrôlées par l’attaquant, pendant que la signature valide pointe vers le nœud original. Si le parseur SAML lit en priorité le nœud injecté, l’identité présentée sera celle choisie par l’attaquant. Dans le cas de CVE-2026-44748, cela permet de substituer un identifiant administrateur dans la partie non signée de l’assertion, tout en conservant une signature valide sur la partie originale. Le résultat : une usurpation d’identité totale au sein du système SAP, y compris l’obtention de droits SAP_ALL (l’équivalent administrateur global).

Le périmètre d’impact est exceptionnellement large. Les versions SAP_BASIS concernées couvrent de 702 à 919, englobant de fait la quasi-totalité des installations SAP NetWeaver en production mondiale. SAP_BASIS 702 a été publié il y a plus de quinze ans et reste déployé dans de nombreuses entreprises n’ayant pas migré vers des versions récentes. Selon les analyses de RedRays et Onapsis publiées le 10 juin 2026, cette amplitude de version fait de CVE-2026-44748 l’une des vulnérabilités SAP à impact potentiellement le plus large de ces dernières années en termes de nombre de systèmes exposés.

Un second CVE critique accompagne cette alerte : CVE-2026-27671, une corruption mémoire non authentifiée dans le noyau ABAP de SAP (CVSS 9.8). Cette vulnérabilité ne nécessite aucune authentification préalable et peut être automatisée à grande échelle, selon l’évaluation ADP de la CISA. Elle affecte le composant SAP ABAP Kernel. L’évaluation CISA classe CVE-2026-27671 comme « automatable », signifiant qu’un attaquant peut développer des outils d’exploitation automatisés pour cibler massivement des systèmes SAP exposés sur Internet.

Combinées, ces deux vulnérabilités créent un scénario d’attaque en deux temps : CVE-2026-27671 permet un accès initial non authentifié via le composant ICM (Internet Communication Manager), tandis que CVE-2026-44748 permet l’élévation d’identité et l’accès à toutes les données et transactions SAP. Les données d’entreprise les plus sensibles — plans financiers (module FI/CO), données de paie (module HR), informations contractuelles, plans de production (PP/QM) — sont potentiellement accessibles à un attaquant exploitant cette combinaison.

À l’heure de publication de cet article, aucune exploitation active n’a été confirmée pour CVE-2026-44748. Cependant, l’historique des vulnérabilités SAP critiques montre que des exploits publics apparaissent généralement dans les 48 à 96 heures suivant la publication des Security Notes. En 2025, CVE-2025-31324 (SAP NetWeaver Visual Composer, CVSS 10.0) avait été exploitée en masse moins de 48 heures après sa divulgation. Sources : Onapsis Security Advisory juin 2026, SecurityWeek, BleepingComputer, Layer Seven Security SAP Security Notes June 2026, SOCRadar SAP Security Patch Day juin 2026.

Impact et exposition

CVE-2026-44748 touche directement toute organisation utilisant SAP NetWeaver AS ABAP avec SAML activé pour l’authentification unique. Cela inclut les portails SAP Fiori, SAP Enterprise Portal, et tout système tiers fédéré via un Identity Provider externe. La vulnérabilité est exploitable par un utilisateur authentifié à faibles privilèges — un employé standard, un prestataire ou un compte de service compromis suffit comme point d’entrée initial. Le CVSS de 9.9 (et non 10.0) s’explique uniquement par la nécessité d’un accès initial à faibles privilèges.

L’impact opérationnel potentiel est maximal : un attaquant exploitant CVE-2026-44748 peut usurper l’identité de n’importe quel utilisateur SAP, y compris les comptes techniques disposant des autorisations les plus étendues. Dans une architecture SAP typique, cela ouvre l’accès aux transactions financières, aux données de paie, aux systèmes de production et à l’ensemble du référentiel ERP. Les risques documentes incluent la fraude financière, la fuite de données massives et le sabotage des processus métier critiques.

CVE-2026-27671 élargit encore la surface d’attaque : étant non authentifiée, elle peut être exploitée sans aucun accès préalable. Les environnements SAP exposant le composant ICM directement sur Internet sont particulièrement exposés. Selon les données Shodan citées par SecurityWeek, plusieurs milliers de systèmes SAP ICM sont accessibles directement depuis Internet sans restriction réseau. Juin correspond à une période de clôture trimestrielle pour de nombreuses entreprises, ce qui renforce l’attractivité de ces systèmes pour des attaquants motivés financièrement.

Les équipes SOC doivent activer une surveillance renforcée des journaux SAP en parallèle de l’application des correctifs. Les transactions SM20 (Security Audit Log), SLG1 (Application Log) et SM50 (Work Process Overview) permettent de détecter des authentifications SAML anormales — utilisateurs inhabituels, horaires atypiques, adresses IP suspectes ou assertions SAML avec des structures XML malformées.

Recommandations immédiates

• Appliquer la SAP Security Note 3596733 (CVE-2026-44748) via SAP Support Portal pour toutes les versions SAP_BASIS de 702 à 919
• Appliquer la SAP Security Note correspondante pour CVE-2026-27671 (corruption mémoire ABAP Kernel)
• Si application immédiate impossible : désactiver temporairement l’authentification SAML (transaction SAML2 dans SAP) après évaluation de l’impact opérationnel SSO
• Restreindre l’accès réseau au composant ICM SAP aux seules adresses IP légitimes via WAF ou règles pare-feu
• Auditer les journaux SM20 sur les 30 derniers jours à la recherche d’authentifications SAML anormales
• Activer la détection des assertions SAML malformées dans votre SIEM — pattern : assertions XML avec nœuds dupliqués ou signatures partielles