CVE-2026-34260
KrytyczneStreszczenie
SAP S/4HANA (SAP Enterprise Search for ABAP) zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwych instrukcji SQL poprzez dane wejściowe kontrolowane przez użytkownika. Aplikacja bezpośrednio łączy te złośliwe dane wejściowe z zapytaniami SQL, które są następnie przekazywane do bazy danych bez odpowiedniej walidacji lub oczyszczania.
Ocena ryzyka
Po udanym wykorzystaniu podatności, atakujący może uzyskać nieautoryzowany dostęp do wrażliwych informacji w bazie danych oraz potencjalnie spowodować awarię aplikacji. Podatność ta ma wysoki wpływ na poufność i dostępność aplikacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji i oczyszczania danych wejściowych, aby zapobiec wstrzykiwaniu SQL. Należy również monitorować dostęp do bazy danych oraz przeprowadzać regularne audyty bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
SAP S/4HANA (SAP Enterprise Search for ABAP) contains a SQL injection vulnerability that allows an authenticated attacker to inject malicious SQL statements through user-controlled input. The application directly concatenates this malicious user input into SQL queries, which are then passed to the underlying database without proper validation or sanitization. Upon successful exploitation, an attacker may gain unauthorized access to sensitive database information and could potentially crash the application. This vulnerability has a high impact on the confidentiality and availability of the application, while integrity remains unaffected.

