Security

SAP Tutup 16 Celah Keamanan, Tiga Kerentanan Kritis Ancam NetWeaver, Commerce Cloud, dan AppRouter

SAP merilis pembaruan keamanan Juli 2026 yang menambal 16 kerentanan di berbagai produknya. Dari jumlah tersebut, tiga kerentanan dikategorikan sebagai kritis karena berpotensi dimanfaatkan penyerang untuk mengakses data, memodifikasi sistem, hingga menyebabkan gangguan layanan.

Kerentanan tersebut ditemukan pada SAP NetWeaver Application Server ABAP, SAP AppRouter, dan SAP Commerce Cloud, yang banyak digunakan oleh perusahaan berskala enterprise di seluruh dunia.

NetWeaver ABAP Rentan terhadap Memory Corruption

Kerentanan pertama yang ditangani adalah CVE-2026-44747, yang memengaruhi SAP NetWeaver Application Server ABAP (AS ABAP).

Celah ini berasal dari kelemahan out-of-bounds write yang dapat menyebabkan memory corruption. Menurut SAP, penyerang yang telah memiliki akun valid dapat memanfaatkan kesalahan pengelolaan memori untuk:

  • Mengakses data tanpa izin.
  • Memodifikasi informasi dalam sistem.
  • Menyebabkan layanan tidak tersedia (availability).

Karena berdampak pada kerahasiaan, integritas, dan ketersediaan sistem, kerentanan ini mendapat tingkat keparahan kritis.

SAP AppRouter Terdampak HTTP Request Smuggling

Kerentanan kritis kedua, CVE-2026-27690, ditemukan pada SAP AppRouter, middleware berbasis Node.js yang digunakan untuk aplikasi cloud di SAP Business Technology Platform (SAP BTP).

Celah ini merupakan HTTP Request Smuggling, yang memungkinkan penyerang tanpa autentikasi mengirimkan permintaan HTTP yang dirancang secara khusus.

Jika berhasil dieksploitasi, penyerang dapat:

  • Mengakses respons yang ditujukan untuk pengguna lain.
  • Melancarkan serangan Denial-of-Service (DoS) terhadap sistem yang menjadi target.

Commerce Cloud Menggunakan Kredensial Default

SAP juga memperbaiki CVE-2026-44761 yang ditemukan pada SAP Commerce Cloud.

Kerentanan ini disebabkan oleh penggunaan kredensial bawaan (default credentials) yang memungkinkan penyerang memperoleh access token yang sah.

Dengan token tersebut, pelaku berpotensi:

  • Mengakses data melalui API tertentu.
  • Membaca informasi sensitif.
  • Memodifikasi data tanpa otorisasi.

Total 16 Kerentanan Ditambal

Selain tiga celah kritis tersebut, paket pembaruan keamanan Juli 2026 juga memperbaiki berbagai kerentanan lain dengan tingkat keparahan berbeda, yaitu:

  • 6 kerentanan tingkat tinggi.
  • 7 kerentanan tingkat sedang.
  • 1 kerentanan tingkat rendah.

Jenis kerentanan yang diperbaiki meliputi:

  • DLL Hijacking
  • Open Redirect
  • Missing Authorization Checks
  • Remote Code Execution (RCE)
  • Cross-Site Scripting (XSS)
  • Path Traversal
  • SQL Injection
  • Denial-of-Service (DoS)
  • Information Disclosure
  • Security Misconfiguration

Belum Ada Bukti Eksploitasi

SAP menyatakan belum menemukan bukti bahwa kerentanan yang diperbaiki pada pembaruan Juli 2026 telah dieksploitasi secara aktif.

Meski demikian, administrator sistem tetap disarankan segera menerapkan patch mengingat produk SAP kerap menjadi target serangan.

Sejak November 2021, Cybersecurity and Infrastructure Security Agency (CISA) telah memasukkan 14 kerentanan SAP ke dalam katalog Known Exploited Vulnerabilities (KEV). Beberapa di antaranya diketahui pernah dimanfaatkan oleh kelompok ransomware untuk menyerang organisasi.

SAP Tetap Menjadi Target Bernilai Tinggi

Sebelumnya, SAP juga merilis pembaruan keamanan pada Juni 2026 yang menambal 15 kerentanan. Dalam periode yang sama, perusahaan turut mengungkap adanya serangan supply chain yang berhasil menyusupi sejumlah paket resmi SAP npm dengan tujuan mencuri kredensial pengembang.

Sebagai salah satu penyedia perangkat lunak enterprise terbesar di dunia, SAP melaporkan pendapatan lebih dari €36 miliar pada tahun fiskal 2025 dan melayani 99 dari 100 perusahaan terbesar di dunia, menjadikan setiap kerentanan pada platformnya memiliki dampak yang sangat luas apabila tidak segera ditangani.

Sumber: SAP

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button