Publicado por:Hoje, 9 de junho de 2026, a SAP publicou seu cronograma mensal de atualizações de segurança — o SAP Security Patch Day. O ciclo deste mês exige atenção e prioridade por parte das equipes de TI, Basis e Segurança da Informação.
Neste Patch Day de junho, a SAP liberou 15 novas Security Notes, das quais 4 delas são classificadas como HotNews (Críticas), com pontuações CVSS que chegam a 9.9.
Abaixo, detalhamos as principais vulnerabilidades e o caminho recomendado para que a sua empresa avalie e mitigue eventuais riscos.
O Panorama Geral de Junho de 2026
No total, as 15 novas notas de segurança distribuem-se da seguinte forma:
- 4 notas Críticas (HotNews): CVSS entre 9.0 e 9.9
- 2 notas de Alta Severidade: CVSS entre 7.1 e 7.4
- 7 notas de Média Severidade: CVSS entre 4.2 e 6.6
- 2 notas de Baixa Severidade: CVSS entre 3.3 e 3.7
Os 4 Destaques Críticos (HotNews) em Foco
As vulnerabilidades HotNews deste mês afetam componentes específicos do ecossistema SAP, demandando uma análise cuidadosa sobre a necessidade de correção de acordo com o cenário de cada empresa.
1. XML Signature Wrapping no SAML Authentication (Nota #3746332 — CVSS 9.9)
Esta é a nota com maior pontuação de severidade do ciclo. Ela afeta a autenticação SAML no SAP NetWeaver AS ABAP e na plataforma ABAP Platform. Sob determinadas condições, a falha pode permitir a manipulação de asserções SAML assinadas, o que possibilita contornar os mecanismos de autenticação e obter acessos não autorizados.
2. Corrupção de Memória no AS ABAP (Nota #3746332/CVE-2026-27671 — CVSS 9.8)
Afeta o Application Server ABAP do SAP NetWeaver em diversos kernels (versões 7.22 a 9.19). A vulnerabilidade está relacionada à forma como o sistema processa requisições RFC específicas, o que poderia, em cenários específicos, afetar a integridade da memória e a estabilidade do servidor.
3. Vulnerabilidade Spring Security no SAP Commerce Cloud (Nota #3748262 — CVSS 9.1)
Uma falha originada na biblioteca integrada Spring Security afeta o SAP Commerce Cloud e o SAP Data Hub (versões como HY_COM 2205 e COM_CLOUD 2211). Ela possibilita que usuários não autenticados contornem determinados controles de segurança estabelecidos, impactando a confidencialidade e integridade da aplicação de e-commerce.
4. Directory Traversal no AS Java Web Container (Nota #3727078 — CVSS 9.0)
Afeta o Web Container do SAP NetWeaver Application Server Java (versão ENGINEAPI 7.50). Permite que usuários com acessos específicos visualizem arquivos localizados fora do diretório padrão da aplicação, o que pode comprometer a confidencialidade de recursos sensíveis se não houver a devida correção.
Vulnerabilidades de Alta Severidade em Foco
Além das notas de severidade crítica, o ciclo trouxe duas correções importantes de alta prioridade:
- Vulnerabilidades Apache Tomcat no Commerce Cloud (Nota #3747484 — CVSS 7.4): Corrige vulnerabilidades acumuladas no servidor Tomcat integrado ao SAP Commerce Cloud.
- Ausência de Verificação de Autorização no AS ABAP (Nota #3735546 — CVSS 7.1): Afeta versões do
SAP_BASISde 700 a 816, permitindo que usuários com privilégios de baixo nível realizem ações não autorizadas em determinadas redes.
Como planejar a atualização do seu ambiente SAP
O Patch Day deste mês reforça que a manutenção preventiva é o caminho mais seguro para garantir a integridade dos sistemas de missão crítica. Contudo, a aplicação de correções exige planejamento técnico para mitigar riscos de indisponibilidade indesejada.
Recomendamos que as equipes de Basis sigam um fluxo estruturado:
- Mapeamento de impacto: Verificar quais componentes ativos do seu landscape (Kernel, NetWeaver, Commerce Cloud) estão de fato expostos às notas deste mês.
- Validação de compatibilidade: Certificar-se de que a aplicação da nota não afetará customizações internas ou integrações.
- Ambientes de homologação: Executar os testes em ambientes de QAS antes do transporte para a produção para garantir a continuidade dos negócios.
O Grupo BravoIT | CloudBasis apoia sua empresa
Nossa equipe de especialistas certificados em SAP Basis acompanha os ciclos de segurança em tempo real. Ajudamos sua empresa a analisar o real impacto dessas vulnerabilidades no seu landscape específico, conduzindo a aplicação das notas técnicas em janelas de manutenção controladas e seguras.
Garanta a estabilidade e a proteção do seu sistema de gestão. Fale com nossos especialistas técnicos hoje mesmo para uma avaliação preventiva do seu ambiente.
