SAP, Mayıs 2026 güvenlik güncellemeleri kapsamında Commerce Cloud ve S/4HANA ürünlerinde iki kritik güvenlik açığı da dahil olmak üzere toplam 15 zafiyeti kapattı. Bu sap güvenlik açığı düzeltmelerinden ilki olan CVE-2026-34263, SAP Commerce Cloud’da eksik kimlik doğrulama kontrolü nedeniyle kimliği doğrulanmamış saldırganların sunucularda kod çalıştırmasına olanak tanıyor. İkinci kritik zafiyet CVE-2026-34260 ise temel yetkilere sahip saldırganların düşük karmaşıklıkta SQL enjeksiyonu yaparak hassas verilere erişmesine yol açıyor.

Kritik Zafiyetler Kod Enjeksiyonu ve SQL Saldırılarına İzin Veriyor

SAP’nin yayınladığı güvenlik danışma belgesine göre CVE-2026-34263, Spring Security yapılandırmasındaki eksiklik nedeniyle ortaya çıkıyor. Bu commerce cloud zafiyeti sayesinde yetkisiz kullanıcılar kötü amaçlı yapılandırma yükleyip kod enjeksiyonu gerçekleştirebiliyor. Başarılı bir saldırı durumunda uygulamanın gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek etki yaratılıyor.

İkinci kritik açık CVE-2026-34260, uygulamanın kullanıcı girdilerini doğrudan SQL sorgularına eklemesi nedeniyle oluşuyor. Bu sql enjeksiyonu hatası sayesinde saldırganlar hassas veritabanı bilgilerine yetkisiz erişim sağlayabiliyor. Ayrıca uygulamanın çökertilmesi riski de bulunuyor. SAP, bu zafiyetin bütünlük üzerinde etkisi olmadığını ancak gizlilik ve kullanılabilirlik üzerinde yüksek risk taşıdığını belirtiyor.

SAP’nin Mayıs 2026 güvenlik güncellemesi iki kritik zafiyetin yanı sıra bir yüksek riskli ve 11 orta riskli güvenlik açığını da kapatıyor. Bu düzeltmeler arasında kod enjeksiyonu güvenlik açığı, eksik yetkilendirme kontrolleri, siteler arası komut dosyası çalıştırma (XSS) ve hizmet reddi gibi farklı saldırı vektörleri bulunuyor.

SAP bugün yamalanan bu açıkların henüz doğada aktif olarak kullanıldığına dair bir kanıt olmadığını bildirdi. Ancak CISA, geçmiş yıllarda 14 SAP güvenlik açığını bilinen istismar edilen zafiyetler kataloğuna eklemişti. Bunlardan ikisinin fidye yazılım saldırılarında kötüye kullanıldığı biliniyor. Ayrıca geçtiğimiz günlerde resmi SAP npm paketleri, geliştiricilerin sistemlerinden kimlik bilgilerini çalmayı hedefleyen bir tedarik zinciri saldırısında tehlikeye girmişti.

Yorum Yap

İlgili Yazılar

Microsoft Windows Güncelleme Hatasını Giderdi: Kurumsal Sistemlerde Sorun Çözüldü
Microsoft Windows Güncelleme Hatasını Giderdi: Kurumsal Sistemlerde Sorun Çözüldü
Gallery

Microsoft Windows Güncelleme Hatasını Giderdi: Kurumsal Sistemlerde Sorun Çözüldü

Bulut Bilişim Hizmet Modelleri Nedir? İşletmenizin BT Altyapısına En Uygun Çözüm Hangisi?
Bulut Bilişim Hizmet Modelleri Nedir? İşletmenizin BT Altyapısına En Uygun Çözüm Hangisi?
Gallery

Bulut Bilişim Hizmet Modelleri Nedir? İşletmenizin BT Altyapısına En Uygun Çözüm Hangisi?

Windows Güncelleme Hatası: 24H2 ve 25H2’ye Yükseltilen Bazı Bilgisayarlar Aylık Güncellemeleri Yükleyemiyor
Windows Güncelleme Hatası: 24H2 ve 25H2’ye Yükseltilen Bazı Bilgisayarlar Aylık Güncellemeleri Yükleyemiyor
Gallery

Windows Güncelleme Hatası: 24H2 ve 25H2’ye Yükseltilen Bazı Bilgisayarlar Aylık Güncellemeleri Yükleyemiyor

Microsoft Aktif Olarak Kullanılan Exchange Server Sıfır Gün Açığını Yamaladı
Microsoft Aktif Olarak Kullanılan Exchange Server Sıfır Gün Açığını Yamaladı
Gallery

Microsoft Aktif Olarak Kullanılan Exchange Server Sıfır Gün Açığını Yamaladı

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.