Overview
A SAP divulgou em seu Security Patch Day mensal 17 novas notas de segurança que corrigem vulnerabilidades críticas em ambientes corporativos SAP. O pacote inclui 4 vulnerabilidades classificadas como HotNews com severidade crítica (CVSS até 9.9), 4 de alta prioridade, 7 de severidade média e 2 de baixa prioridade. As falhas mais graves permitem injeção SQL, execução remota de código e injeção de código em produtos amplamente utilizados como SAP S/4HANA, SAP HANA Database, SAP NetWeaver e SAP Wily Introscope.
A vulnerabilidade mais crítica é a CVE-2026-0501 (CVSS 9.9), uma falha de injeção SQL no módulo SAP S/4HANA Private Cloud e On-Premise (Financials - General Ledger) descoberta pela Onapsis Research Labs. A vulnerabilidade afeta um módulo habilitado para Remote Function Call (RFC) que utiliza o framework ABAP Database Connectivity (ADBC) para executar comandos SQL nativos, permitindo que atacantes autenticados com baixos privilégios executem consultas SQL arbitrárias e comprometam completamente o sistema financeiro. Outras falhas críticas incluem CVE-2026-0500 (CVSS 9.6) no SAP Wily Introscope Enterprise Manager que permite execução remota de código sem autenticação, e CVE-2026-0498 e CVE-2026-0491 (ambas CVSS 9.1) que permitem injeção de código em SAP S/4HANA e SAP Landscape Transformation respectivamente.
As vulnerabilidades de alta prioridade incluem escalação de privilégios no SAP HANA Database (CVE-2026-0492, CVSS 8.8) que permite a atacantes autenticados alternar para outros usuários e potencialmente obter acesso administrativo, injeção de comandos do sistema operacional no SAP Application Server for ABAP (CVE-2026-0507, CVSS 8.4), e múltiplas falhas de ausência de verificação de autorização no SAP NetWeaver e aplicações Fiori. A SAP recomenda aplicação imediata dos patches, especialmente para as vulnerabilidades HotNews, para prevenir comprometimento completo dos sistemas corporativos.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2026-0501 | Crítica | SAP S/4HANA Private Cloud e On-Premise (Financials - General Ledger) versões S4CORE 102-109 |
| CVE-2026-0500 | Crítica | SAP Wily Introscope Enterprise Manager (WorkStation) versão WILY_INTRO_ENTERPRISE 10.8 |
| CVE-2026-0498 | Crítica | SAP S/4HANA Private Cloud e On-Premise versões S4CORE 102-109 |
| CVE-2026-0491 | Crítica | SAP Landscape Transformation versões DMIS 2011_1_700 a 2020 |
Nota: Esta tabela apresenta apenas as 4 vulnerabilidades críticas classificadas como HotNews. O pacote completo de janeiro de 2026 inclui também 4 vulnerabilidades de alta prioridade, 7 de severidade média e 2 de baixa prioridade.
Recomendações
- Aplicar imediatamente os patches para as 4 vulnerabilidades críticas classificadas como HotNews dentro de 24-48 horas: CVE-2026-0501 (SAP Security Note #3687749), CVE-2026-0500 (Note #3668679), CVE-2026-0498 (Note #3694242) e CVE-2026-0491 (Note #3697979)
- Priorizar a correção da CVE-2026-0501 em todos os sistemas SAP S/4HANA Financials - General Ledger versões S4CORE 102-109, pois permite comprometimento completo de dados financeiros por atacantes com baixos privilégios
- Atualizar SAP Wily Introscope Enterprise Manager WorkStation versão 10.8 imediatamente para eliminar a vulnerabilidade de execução remota de código não autenticada (CVE-2026-0500)
- Realizar backups completos de todos os sistemas SAP antes de aplicar qualquer patch crítico para garantir capacidade de recuperação
- Testar os patches em ambientes de desenvolvimento ou homologação antes de aplicar em produção para validar compatibilidade
- Monitorar logs de auditoria SAP para detectar tentativas de exploração, especialmente padrões anômalos de consultas SQL e execução de comandos RFC suspeitos
- Consultar o SAP Support Portal para obter as Security Notes específicas e aplicar as correções das 4 vulnerabilidades de alta prioridade após conclusão dos patches críticos
Fontes
- SAP Security Patch Day - Janeiro 2026 (SAP Support Portal)
- SAP's January 2026 Security Updates Patch Critical Vulnerabilities - SecurityWeek
- SAP Security Patch Day for January 2026 - Onapsis
- SAP Security Patch Day January 2026 - RedRays Cybersecurity
- SAP Security Patch Day January 2026 - Cyber Security News
Overview
SAP released its monthly Security Patch Day containing 17 new security notes that fix critical vulnerabilities in corporate SAP environments. The package includes 4 vulnerabilities classified as HotNews with critical severity (CVSS up to 9.9), 4 high priority, 7 medium severity, and 2 low priority. The most severe flaws allow SQL injection, remote code execution, and code injection in widely used products such as SAP S/4HANA, SAP HANA Database, SAP NetWeaver, and SAP Wily Introscope.
The most critical vulnerability is CVE-2026-0501 (CVSS 9.9), a SQL injection flaw in the SAP S/4HANA Private Cloud and On-Premise (Financials - General Ledger) module discovered by Onapsis Research Labs. The vulnerability affects a Remote Function Call (RFC)-enabled module that uses the ABAP Database Connectivity (ADBC) framework to execute native SQL commands, allowing authenticated attackers with low privileges to execute arbitrary SQL queries and completely compromise the financial system. Other critical flaws include CVE-2026-0500 (CVSS 9.6) in SAP Wily Introscope Enterprise Manager that allows unauthenticated remote code execution, and CVE-2026-0498 and CVE-2026-0491 (both CVSS 9.1) that allow code injection in SAP S/4HANA and SAP Landscape Transformation respectively.
High-priority vulnerabilities include privilege escalation in SAP HANA Database (CVE-2026-0492, CVSS 8.8) that allows authenticated attackers to switch to other users and potentially gain administrative access, OS command injection in SAP Application Server for ABAP (CVE-2026-0507, CVSS 8.4), and multiple missing authorization check flaws in SAP NetWeaver and Fiori applications. SAP recommends immediate patch application, especially for HotNews vulnerabilities, to prevent complete compromise of corporate systems.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2026-0501 | Critical | SAP S/4HANA Private Cloud and On-Premise (Financials - General Ledger) versions S4CORE 102-109 |
| CVE-2026-0500 | Critical | SAP Wily Introscope Enterprise Manager (WorkStation) version WILY_INTRO_ENTERPRISE 10.8 |
| CVE-2026-0498 | Critical | SAP S/4HANA Private Cloud and On-Premise versions S4CORE 102-109 |
| CVE-2026-0491 | Critical | SAP Landscape Transformation versions DMIS 2011_1_700 to 2020 |
Note: This table presents only the 4 critical vulnerabilities classified as HotNews. The complete January 2026 package also includes 4 high-priority vulnerabilities, 7 medium severity, and 2 low priority.
Recommendations
- Immediately apply patches for the 4 critical vulnerabilities classified as HotNews within 24-48 hours: CVE-2026-0501 (SAP Security Note #3687749), CVE-2026-0500 (Note #3668679), CVE-2026-0498 (Note #3694242), and CVE-2026-0491 (Note #3697979)
- Prioritize fixing CVE-2026-0501 on all SAP S/4HANA Financials - General Ledger systems versions S4CORE 102-109, as it allows complete compromise of financial data by low-privilege attackers
- Update SAP Wily Introscope Enterprise Manager WorkStation version 10.8 immediately to eliminate the unauthenticated remote code execution vulnerability (CVE-2026-0500)
- Perform complete backups of all SAP systems before applying any critical patch to ensure recovery capability
- Test patches in development or staging environments before applying to production to validate compatibility
- Monitor SAP audit logs to detect exploitation attempts, especially anomalous patterns of SQL queries and suspicious RFC command execution
- Consult the SAP Support Portal to obtain specific Security Notes and apply fixes for the 4 high-priority vulnerabilities after completing critical patches
Sources
- SAP Security Patch Day - January 2026 (SAP Support Portal)
- SAP's January 2026 Security Updates Patch Critical Vulnerabilities - SecurityWeek
- SAP Security Patch Day for January 2026 - Onapsis
- SAP Security Patch Day January 2026 - RedRays Cybersecurity
- SAP Security Patch Day January 2026 - Cyber Security News
Overview
SAP divulgó en su Security Patch Day mensual 17 nuevas notas de seguridad que corrigen vulnerabilidades críticas en ambientes corporativos SAP. El paquete incluye 4 vulnerabilidades clasificadas como HotNews con severidad crítica (CVSS hasta 9.9), 4 de alta prioridad, 7 de severidad media y 2 de baja prioridad. Las fallas más graves permiten inyección SQL, ejecución remota de código e inyección de código en productos ampliamente utilizados como SAP S/4HANA, SAP HANA Database, SAP NetWeaver y SAP Wily Introscope.
La vulnerabilidad más crítica es CVE-2026-0501 (CVSS 9.9), una falla de inyección SQL en el módulo SAP S/4HANA Private Cloud y On-Premise (Financials - General Ledger) descubierta por Onapsis Research Labs. La vulnerabilidad afecta un módulo habilitado para Remote Function Call (RFC) que utiliza el framework ABAP Database Connectivity (ADBC) para ejecutar comandos SQL nativos, permitiendo que atacantes autenticados con bajos privilegios ejecuten consultas SQL arbitrarias y comprometan completamente el sistema financiero. Otras fallas críticas incluyen CVE-2026-0500 (CVSS 9.6) en SAP Wily Introscope Enterprise Manager que permite ejecución remota de código sin autenticación, y CVE-2026-0498 y CVE-2026-0491 (ambas CVSS 9.1) que permiten inyección de código en SAP S/4HANA y SAP Landscape Transformation respectivamente.
Las vulnerabilidades de alta prioridad incluyen escalación de privilegios en SAP HANA Database (CVE-2026-0492, CVSS 8.8) que permite a atacantes autenticados alternar a otros usuarios y potencialmente obtener acceso administrativo, inyección de comandos del sistema operativo en SAP Application Server for ABAP (CVE-2026-0507, CVSS 8.4), y múltiples fallas de ausencia de verificación de autorización en SAP NetWeaver y aplicaciones Fiori. SAP recomienda aplicación inmediata de los parches, especialmente para las vulnerabilidades HotNews, para prevenir compromiso completo de los sistemas corporativos.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2026-0501 | Crítica | SAP S/4HANA Private Cloud y On-Premise (Financials - General Ledger) versiones S4CORE 102-109 |
| CVE-2026-0500 | Crítica | SAP Wily Introscope Enterprise Manager (WorkStation) versión WILY_INTRO_ENTERPRISE 10.8 |
| CVE-2026-0498 | Crítica | SAP S/4HANA Private Cloud y On-Premise versiones S4CORE 102-109 |
| CVE-2026-0491 | Crítica | SAP Landscape Transformation versiones DMIS 2011_1_700 a 2020 |
Nota: Esta tabla presenta solo las 4 vulnerabilidades críticas clasificadas como HotNews. El paquete completo de enero de 2026 incluye también 4 vulnerabilidades de alta prioridad, 7 de severidad media y 2 de baja prioridad.
Recomendaciones
- Aplicar inmediatamente los parches para las 4 vulnerabilidades críticas clasificadas como HotNews dentro de 24-48 horas: CVE-2026-0501 (SAP Security Note #3687749), CVE-2026-0500 (Note #3668679), CVE-2026-0498 (Note #3694242) y CVE-2026-0491 (Note #3697979)
- Priorizar la corrección de CVE-2026-0501 en todos los sistemas SAP S/4HANA Financials - General Ledger versiones S4CORE 102-109, pues permite compromiso completo de datos financieros por atacantes con bajos privilegios
- Actualizar SAP Wily Introscope Enterprise Manager WorkStation versión 10.8 inmediatamente para eliminar la vulnerabilidad de ejecución remota de código no autenticada (CVE-2026-0500)
- Realizar backups completos de todos los sistemas SAP antes de aplicar cualquier parche crítico para garantizar capacidad de recuperación
- Probar los parches en ambientes de desarrollo u homologación antes de aplicar en producción para validar compatibilidad
- Monitorear logs de auditoría SAP para detectar intentos de explotación, especialmente patrones anómalos de consultas SQL y ejecución de comandos RFC sospechosos
- Consultar el SAP Support Portal para obtener las Security Notes específicas y aplicar las correcciones de las 4 vulnerabilidades de alta prioridad tras conclusión de los parches críticos
Fuentes
- SAP Security Patch Day - Enero 2026 (SAP Support Portal)
- SAP's January 2026 Security Updates Patch Critical Vulnerabilities - SecurityWeek
- SAP Security Patch Day for January 2026 - Onapsis
- SAP Security Patch Day January 2026 - RedRays Cybersecurity
- SAP Security Patch Day January 2026 - Cyber Security News
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos