أصدرت شركة SAP حزمة التحديثات الأمنية لشهر يونيو 2026، مستهدفة معالجة 15 ثغرة أمنية في عدة منتجات تابعة لها. وتتضمن هذه الحزمة 4 ثغرات مصنفة بـ “الحرجة” تؤثر في منصتي SAP NetWeaver وSAP Commerce Cloud، وهما من الحلول البرمجية واسعة الانتشار في بيئات المؤسسات لإدارة التطبيقات، والعمليات التجارية، وقنوات التجارة الرقمية.
تبرز بين الثغرات الحرجة ثغرة تجاوز مصادقة مرتبطة ببروتوكول SAML في منصتي SAP NetWeaver AS ABAP وABAP Platform. تحمل هذه الثغرة المعرف (CVE-2026-44748 بتقييم CVSS عند 9.9)، وتكمن خطورتها في إمكانية استغلالها عبر تقنية تزييف توقيعات لغة الترميز القابلة للتوسيع (XML Signature Wrapping)، ما قد يسمح بقبول بيانات هوية معدلة ومن ثم الوصول غير المصرح به إلى معلومات حساسة.
كما عالجت الحزمة ثغرة تلف ذاكرة في خادم تطبيقات ABAP ضمن SAP NetWeaver وABAP Platform، والمصنفة بالمعرف (CVE-2026-27671 بتقييم CVSS عند 9.8). وتوضح التفاصيل المنشورة أن الثغرة يمكن استغلالها دون الحاجة إلى مصادقة، وذلك بإرسال طلبات تعليقات (RFC Requests) معدة خصيصاً إلى نقاط النهاية المتأثرة نتيجة خلل في التحقق من البيانات داخل النواة، ما يجعلها من أبرز الثغرات التي تتطلب أولوية قصوى في الترقية والتصحيح.
وإلى جانب ذلك، اشتملت التحديثات على ثغرة حرجة أخرى في SAP Commerce Cloud وSAP Data Hub ترتبط بمكون Spring Security وتحمل المعرف (CVE-2026-22732 بتقييم CVSS عند 9.1)، بالإضافة إلى ثغرة تخطي المسار في حاوية الويب الخاصة بخادم التطبيقات لجافا SAP NetWeaver Application Server Java، مسجلة بالمعرف (CVE-2026-40128 بتقييم CVSS عند 9.0).
وأكدت نشرة SAP الرسمية أن تحديث يونيو يضم 15 ملاحظة أمنية جديدة، من بينها ثغرتان عاليتا الخطورة؛ الأولى (CVE-2026-29145 بتقييم CVSSعند 9.1) تتعلق بعدة عيوب أمنية في Apache Tomcat ضمن SAP Commerce Cloud، والثانية (CVE-2026-44751 بتقييم CVSS عند 7.1) تخص غياب فحص الصلاحيات في SAP NetWeaver AS ABAP وABAP Platform. كما غطت الإصلاحات مشكلات أمنية أخرى شملت حقن استعلامات SQL ، وتخطي المسار، وحقن النصوص البرمجية عبر المواقع (XSS)، وانتحال البريد الإلكتروني، وتجاوز الصلاحيات في منتجات متعددة للشركة.
هذا وتتوفر التفاصيل التقنية الدقيقة حول إجراءات المعالجة والحلول البديلة المؤقتة عبر بوابة دعم العملاء الخاصة بشركة SAP. وبالنظر إلى الأهمية التشغيلية للمنتجات المتأثرة، فإن الأولوية العملية لفرق الأمن السيبراني وتقنية المعلومات تتركز في مراجعة الإصدارات المستهدفة، واختبار حزم التحديث، ومن ثم تطبيقها مباشرة على الأنظمة المعرضة للخطر، لا سيما البيئات التي تعتمد على بروتوكول SAML أو خوادم ABAP المرتبطة بالعمليات المؤسسية الحساسة.
