SAP S/4HANA est l'ERP de référence des grandes entreprises mondiales — il gère les données financières, RH, supply chain, et opérationnelles de plusieurs dizaines de milliers d'organisations, dont la majorité des sociétés du CAC 40 et du Fortune 500. CVE-2026-34260 (CVSS 9.6) révèle une SQL injection dans le composant Enterprise Search ABAP : un attaquant authentifié peut injecter du SQL malveillant via un input utilisateur, accéder à des données sensibles ou potentiellement crasher l'application.
Le score 9.6 (CRITICAL) avec scope changé reflète la sévérité : SAP S/4HANA contient les données les plus stratégiques de l'entreprise. Une SQL injection sur cette stack a un impact business direct — financier, légal, et réglementaire (SOX, RGPD).
Détails techniques
Le composant Enterprise Search ABAP
SAP Enterprise Search est un module qui permet aux utilisateurs SAP de rechercher des objets métiers (clients, fournisseurs, commandes, documents) avec une UI similaire à un moteur de recherche grand public. Côté backend, il s'appuie sur des programmes ABAP (le langage propriétaire SAP) qui construisent des requêtes SQL.
Le bug
L'input utilisateur (texte de recherche) est directement concaténé dans les requêtes SQL qui interrogent la base HANA sous-jacente :
" Pseudo-code reconstitué du pattern vulnérable
DATA(query) = `SELECT * FROM ZBUSOBJ WHERE name LIKE '%` && lv_user_input && `%'`.
EXEC SQL.
EXECUTE IMMEDIATE :query.
ENDEXEC.
Un attaquant authentifié (compte standard SAP — souvent par millions dans une grande organisation) saisit dans le champ de recherche :
'; SELECT * FROM USR02; --
ou plus subtilement :
%' UNION SELECT mandt, bname, bcode FROM usr02 WHERE bname LIKE '%
Ce qui permet d'extraire la table USR02 (les hash de mots de passe SAP, historiquement faibles), ou n'importe quelle autre table à laquelle le compte de service du composant a accès.
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.6 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H |
| CWE | CWE-89 (SQL Injection) |
| Authentification | Requise (privilèges faibles : compte standard) |
| Scope | Changed — l'injection traverse vers la base HANA et impacte d'autres modules SAP |
| Impact | Confidentialité haute, Disponibilité haute, Intégrité nulle |
L'absence d'impact intégrité (I:N) signale que la CVE ne permet pas la modification de données — uniquement la lecture massive et le potentiel crash. C'est encore catastrophique dans un contexte ERP.
Produits et versions affectés
| Produit | Composant | Statut |
|---|---|---|
| SAP S/4HANA | Enterprise Search for ABAP | Affecté — voir bulletin SAP officiel |
Le bulletin officiel de SAP publié sur le SAP Security Patch Day (deuxième mardi du mois — mai 2026) liste les versions précises affectées. Note : SAP publie ses CVE sous un format propriétaire (SAP Note XXXXX) en plus du CVE-ID public.
Pour vérifier ta version :
# Transaction SAP
SE38 → RSPARAM (afficher les paramètres système)
# Ou via SAP GUI
System → Status → Component information
Exploitation et impact
Surface d'attaque réelle
S/4HANA est rarement exposé Internet directement — il vit sur le réseau interne, accédé via VPN ou bureau d'entreprise. Mais :
- Tout employé avec un compte SAP est un attaquant potentiel
- Tout prestataire avec accès à Fiori Launchpad (le portail web SAP moderne) peut exploiter à distance
- Tout compte compromis par phishing déverrouille la CVE
L'audience attaquable est donc massive dans une grande organisation : 10 000+ utilisateurs SAP n'est pas rare.
Conséquences post-exploitation
1. Vol de données financières/RH
L'attaquant peut extraire :
- Salaires, bonus, données employés (table
PA0001,PA0008) - Données fournisseurs et clients (table
KNA1,LFA1) - Commandes et factures (tables
VBAK,VBRK) - Hash de mots de passe SAP (
USR02) — réutilisables sur d'autres tenants SAP via les mêmes credentials
2. Préparation d'attaques ciblées
Données ainsi extraites = fuel pour des attaques BEC (Business Email Compromise) hautement ciblées : connaître les CFO, leurs limites de signature, les fournisseurs habituels, les patterns d'approbation.
3. Sabotage par DoS
Une SQL injection mal formée peut crasher des services HANA, provoquant une interruption de production dans l'ERP — impact business direct, en €.
4. Compliance et réglementaire
Une exfiltration de données personnelles (RGPD) ou financières (SOX, BCBS239) implique :
- Notification aux autorités sous 72h (CNIL en France)
- Audit financier extraordinaire potentiel
- Class actions possibles selon les juridictions
- Amendes RGPD jusqu'à 4% du CA mondial
Détection et IOC
Logs SAP
Active le logging SQL niveau trace pour ton composant Enterprise Search :
# Transaction ST05 — SQL trace
ST05 → Activate trace for user → enter target user
Recherche dans les traces les patterns SQLi typiques :
-- Patterns suspects à matcher
'; SELECT
' OR '1'='1
UNION SELECT
-- (commentaire SQL)
/* (commentaire SQL alternative)
Logs application Fiori
Le Fiori Launchpad logue les recherches utilisateur — exporte régulièrement et chasse les patterns ci-dessus.
Monitoring HANA
Sur la base HANA, surveille les requêtes anormales depuis le compte de service Enterprise Search :
SELECT * FROM M_EXPENSIVE_STATEMENTS
WHERE USER_NAME = '<enterprise_search_service_account>'
AND STATEMENT_STRING LIKE '%UNION%'
ORDER BY EXECUTION_COUNT DESC;
Audit comptable
Cherche en BDD les accès anormaux aux tables sensibles :
-- Combien d'accès à USR02 dans les 7 derniers jours ?
SELECT user_name, COUNT(*) AS reads
FROM M_TABLE_ACCESS_STATISTICS
WHERE table_name = 'USR02'
AND last_access > ADD_DAYS(CURRENT_DATE, -7)
GROUP BY user_name
ORDER BY reads DESC;
Mitigation et patch
Action immédiate : appliquer le SAP Note officiel
- Connecte-toi au SAP Support Portal : https://support.sap.com
- Recherche le Security Patch Day Note correspondant au CVE-2026-34260 (mai 2026)
- Applique via la transaction SNOTE dans ton système SAP :
SNOTE → Goto → Download SAP Note → entrer le numéro → Implement
Workaround si patch impossible immédiatement
- Désactiver Enterprise Search ABAP si non critique pour le métier :
# Transaction SE38 → ESH_ADM_CONFIG → Disable
-
Restreindre les permissions sur le compte de service Enterprise Search :
- Retire les autorisations larges sur les tables sensibles (
USR02,PA*,KNA1,LFA1) - Limite aux seuls objets de recherche métier explicitement nécessaires
- Retire les autorisations larges sur les tables sensibles (
-
WAF devant Fiori : ajoute un ruleset SQL injection sur ton WAF d'entreprise pour bloquer les payloads malicieux avant qu'ils n'atteignent SAP
Hardening durable post-patch
- Audit régulier des autorisations SAP via SUIM/PFCG
- Migration vers HANA Authentication moderne (X.509, SAML, OAuth) plutôt que les hash legacy SAP
- Rotation des mots de passe admin SAP par précaution
- SAP Security Audit Log activé et envoyé vers un SIEM externe
Pourquoi surveiller en continu votre stack SAP
SAP est une boîte noire pour la plupart des équipes sécurité — la pile est gérée par des consultants spécialisés, isolée des inventaires de sécurité classiques, et publiée selon le calendrier SAP (Security Patch Day mensuel) que peu d'équipes IT suivent assidûment. Les CVE SAP peuvent rester non patchées 6 à 12 mois dans une organisation moyenne — et chacune est un risque business majeur.
Avec cveo.tech, inventoriez votre stack SAP (S/4HANA, NetWeaver, BTP, modules métiers) et recevez un email automatique à chaque SAP Security Patch Day avec les CVE concernant vos versions exactes et vos composants activés — pour ne plus dépendre d'un consultant externe pour le suivi mensuel.