Security

SAP Rilis Perbaikan untuk Celah Keamanan Kritis di NetWeaver dan Commerce Cloud

2 hours ago
2 minutes read

Perusahaan raksasa perangkat lunak enterprise, SAP, resmi meluncurkan paket pembaruan keamanan untuk periode Juni 2026. Dalam pembaruan kali ini, SAP menambal 15 kerentanan keamanan, termasuk di antaranya empat celah berstatus kritis (critical-severity) yang berdampak langsung pada platform utama mereka, SAP NetWeaver dan SAP Commerce Cloud.

SAP NetWeaver sendiri merupakan fondasi platform aplikasi inti dan middleware yang menopang berbagai sistem bisnis SAP, seperti ERP. Perangkat ini bertanggung jawab atas fungsi-fungsi krusial mulai dari integrasi, otentikasi, manajemen pengguna, hingga pemrosesan data. Sementara itu, SAP Commerce Cloud adalah platform e-commerce skala besar yang digunakan perusahaan untuk mengelola toko online, katalog produk, akun pelanggan, dan sistem manajemen pesanan.

Mengingat peran kedua platform tersebut yang sangat vital dalam operasional bisnis global, penemuan celah keamanan ini menjadi perhatian serius bagi para administrator sistem.

Detail Celah Keamanan Kritis yang Ditambal

Berdasarkan buletin keamanan resmi yang dirilis, terdapat empat kerentanan dengan tingkat bahaya tertinggi yang menjadi fokus utama pada pembaruan bulan ini:

  • CVE-2026-44748 (Skor CVSS 9.9): Celah keamanan jenis XML Signature Wrapping yang ditemukan pada SAP NetWeaver AS ABAP dan ABAP Platform. Kerentanan ini berpotensi dimanfaatkan oleh penyerang untuk melakukan authentication bypass pada lingkungan yang menggunakan basis SAML. Penyerang dengan hak akses standar dapat memanipulasi dokumen XML bertanda tangan dan mengirimkannya ke verifikator, sehingga identitas palsu tersebut diterima dan memberikan akses tidak sah ke data sensitif pengguna.
  • CVE-2026-27671 (Skor CVSS 9.8): Masalah memory corruption pada SAP NetWeaver/ABAP Platform Application Server ABAP. Celah ini sangat berbahaya karena dapat dieksploitasi tanpa memerlukan proses otentikasi. Penyerang cukup mengirimkan crafted RFC requests ke titik akhir (endpoint) yang rentan, memanfaatkan validasi kernel yang tidak sempurna untuk memicu kerusakan memori.
  • CVE-2026-22732 (Skor CVSS 9.1): Kerentanan terkait Spring Security yang berdampak pada komponen SAP Commerce Cloud dan SAP Data Hub.
  • CVE-2026-40128 (Skor CVSS 9.0): Celah directory traversal yang ditemukan pada komponen Web Container milik SAP NetWeaver Application Server Java.

Selain empat kerentanan kritis di atas, pembaruan kali ini juga mengatasi dua celah keamanan dengan tingkat ancaman tinggi (high-severity). Pertama adalah CVE-2026-29145, yang mencakup beberapa kerentanan Apache Tomcat di dalam Commerce Cloud. Kedua adalah CVE-2026-44751, yang terkait dengan masalah hilangnya pemeriksaan otorisasi (missing authorization check) pada NetWeaver AS ABAP.

Perbaikan lain yang turut disertakan dalam paket tambalan ini meliputi mitigasi untuk masalah SQL injection, path traversal, cross-site scripting (XSS), email spoofing, serta beberapa celah authorization bypass minor di berbagai lini produk SAP.

Imbauan Prioritas Pembaruan

Informasi detail mengenai eksploitasi dan panduan mitigasi teknis saat ini hanya dapat diakses oleh pelanggan SAP yang memiliki akun portal keamanan resmi.

Mengingat tingginya potensi bahaya, khususnya pada celah otentikasi SAML (CVE-2026-44748) dan kerusakan memori (CVE-2026-27671), perusahaan yang menggunakan platform terdampak diimbau untuk segera melakukan proses patching guna menghindari risiko gangguan operasional dan kebocoran data enterprise.

Sumber: SAP Security Patch Day June 2026

Tags
2 hours ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button