أطلقت شركة SAP حزمة تحديثاتها الأمنية الدورية، التي اشتملت على 20 مذكرة أمنية، تضمنت 19 مذكرة جديدة إلى جانب تحديث واحد لمذكرة سابقة.
تهدف هذه الخطوة، ضمن دورة التحديثات المجدولة لشهر أبريل، إلى معالجة ثغرات متنوعة تتفاوت مستويات خطورتها بين الدرجات الحرجة والمتوسطة والمنخفضة. وبناءً عليه، وجهت الشركة دعوة عاجلة لعملائها بضرورة اعتماد هذه الإصلاحات التقنية فوراً، لضمان حماية واستقرار بيئات العمل التي تعتمد على برمجياتها المؤسسية.
تحديات أمنية حرجة في أنظمة البيانات
برزت في مقدمة هذه التحديثات ثغرة أمنية بالغة الخطورة (CVE-2026-27681 بتقييم CVSS عند 9.9). تندرج هذه الثغرة ضمن فئة “حقن SQL”، وهي تقنية هجومية تتيح للمهاجمين إرسال أوامر برمجية خبيثة مباشرة إلى قاعدة البيانات للوصول إلى معلومات غير مصرح بها.
تؤثر الثغرة المذكورة على منصات SAP Business Planning and Consolidation وSAP Business Warehouse، وتحديداً في الإصدارات HANABPC 810 وBPC4HANA 300، بالإضافة إلى نسخ متعددة من مكون SAP_BW تتراوح إصداراتها بين 750 و816.
وفقاً للتقارير التقنية الصادرة عن شركة Onapsis، يعود سبب الثغرة إلى وجود خلل في برنامج يعتمد لغة البرمجة ABAP؛ وهي اللغة الأساسية التي تستخدمها SAP لتطوير تطبيقاتها. يتيح هذا الخلل لمستخدم يمتلك أدنى مستويات الوصول إمكانية رفع ملف يتضمن أوامر SQL غير مصرح بها وتنفيذها داخل النظام. تسمح هذه الآلية بالوصول المباشر إلى قواعد البيانات، وتمنح القدرة على استعراض البيانات الحساسة أو تعديلها دون الحاجة إلى أي تفاعل من قبل المستخدمين الآخرين.
تداعيات استغلال الثغرات والحلول البرمجية
يتيح سيناريو الاستغلال التقني للمهاجمين استخدام ميزة رفع الملفات لتمرير أوامر برمجية إلى مخازن بيانات BW وBPC، ما قد يؤدي إلى تسريب بيانات مالية دقيقة، أو التدخل في التقارير المحاسبية ونماذج التوحيد المالي، وصولاً إلى احتمالية حذف سجلات البيانات أو إتلافها بالكامل.
تتسبب هذه المخاطر في اضطرابات تشغيلية واسعة ضمن الهياكل الإدارية للمؤسسات المتضررة؛ وقد استجابت شركة SAP لذلك عبر تعطيل الشيفرة التنفيذية في الجزء المتأثر من النظام بشكل نهائي، لضمان عدم تكرار هذا السيناريو.
إلى جانب ذلك، تضمنت الحزمة معالجة لثغرة عالية الخطورة (CVE-2026-34256 بتقييم CVSS عند 7.1)، تتعلق بقصور في إجراءات التحقق من الصلاحيات داخل أنظمة SAP ERP وSAP S/4HANA، سواء في النسخ السحابية الخاصة أو النسخ المثبتة محلياً.
يوفر هذا الخلل إمكانية تشغيل برامج ABAP وإعادة صياغة تطبيقات تنفيذية قائمة، ويطال ذلك مجموعة من الحزم البرمجية، مثل SAP_FIN وSAPSCORE وS4CORE، بالإضافة إلى إصدارات متنوعة من EA-APPL وEA-FIN.
شمولية التحديثات وتدابير الحماية المؤسسية
غطت التحديثات أيضاً 16 مذكرة أمنية متوسطة الخطورة، عالجت ثغرات متنوعة قد تتسبب في تسريب المعلومات أو تعطيل الخدمات التقنية. وقد شملت هذه الإصلاحات نطاقاً واسعاً من المنتجات، منها منصة SAP BusinessObjects Business Intelligence وSAP Business Analytics، بالإضافة إلى SAP Content Management وSAP Human Capital Management لبرمجيات SAP S/4HANA.
كما امتدت المعالجة لتشمل خدمات SAP S/4HANA OData وSAP Supplier Relationship Management، فضلاً عن أدوات الإدارة مثل SAP NetWeaver وSAP HANA Cockpit وHANA Database Explorer.
احتوت الحزمة كذلك على مذكرتين لثغرات منخفضة الخطورة في أنظمة SAP NetWeaver Application Server ABAP وSAP Landscape Transformation. كما جرى تقديم تحديث لمذكرة سابقة تخص الثغرة (CVE-2025-42899 بتقييم CVSS عند 4.3)، المرتبطة بإدارة قيود اليومية في نظام SAP S4CORE.
ورغم عدم رصد هجمات فعلية تستغل هذه الثغرات حتى تاريخ إصدار التقرير، فقد أكدت شركة SAP عبر نشرة “SAP Security Patch Day” على ضرورة مراجعة بوابات الدعم الفني، وتطبيق الإصلاحات البرمجية وفقاً للأولويات الأمنية القصوى للمؤسسات.
