Tháng 5/2026, SAP phát hành bản cập nhật Security Patch Day với 15 security notes, xử lý nhiều lỗ hổng CVE nghiêm trọng trên hệ sinh thái phần mềm doanh nghiệp. Trong số này, các lỗi SQL injection, missing authentication và command injection là những điểm cần ưu tiên vá ngay để giảm rủi ro bảo mật cho môi trường vận hành.
Lỗ hổng CVE nghiêm trọng trong SAP S/4HANA
Điểm đáng chú ý nhất trong đợt cảnh báo CVE lần này là SAP Security Note 3724838, khắc phục một lỗ hổng CVE SQL injection nghiêm trọng trong thành phần SAP Enterprise Search for Advanced Business Application Programming của SAP S/4HANA.
Lỗ hổng được theo dõi dưới mã CVE-2026-34260 và có điểm CVSS 9.6/10. Đây là mức cho thấy nguy cơ bảo mật rất cao, đặc biệt trong các hệ thống ERP nơi dữ liệu tài chính và nghiệp vụ được xử lý tập trung.
Khi bị khai thác, kẻ tấn công có thể thực thi truy vấn cơ sở dữ liệu độc hại, từ đó đọc, sửa đổi hoặc xóa vĩnh viễn dữ liệu nhạy cảm của doanh nghiệp. Với bối cảnh này, lỗ hổng CVE không chỉ ảnh hưởng đến tính toàn vẹn dữ liệu mà còn có thể dẫn đến gián đoạn vận hành trên diện rộng.
Ảnh hưởng khai thác
- Đọc dữ liệu tài chính và nghiệp vụ.
- Sửa đổi dữ liệu trong các bảng quan trọng.
- Xóa dữ liệu gây mất tính toàn vẹn.
- Tạo điều kiện cho xâm nhập trái phép vào các luồng xử lý lõi.
Lỗ hổng CVE trong SAP Commerce Cloud
SAP đồng thời xử lý một lỗ hổng CVE nghiêm trọng khác trong SAP Commerce Cloud. Lỗi này được định danh là CVE-2026-34263 và cũng có CVSS 9.6.
Nguyên nhân là do missing authentication check, cho phép kẻ tấn công từ bên ngoài bypass các cơ chế bảo vệ và truy cập hệ thống trái phép. Trong môi trường thương mại điện tử, lỗi dạng này có thể dẫn đến hệ thống bị xâm nhập và gây gián đoạn nghiêm trọng các dịch vụ vận hành.
Với một lỗ hổng CVE thuộc nhóm xác thực, mức độ ảnh hưởng thường vượt ra ngoài phạm vi truy cập đơn lẻ, vì nó có thể tác động đến API, logic phiên làm việc và các tiến trình xử lý giao dịch.
Cảnh báo CVE cho SAP Forecasting and Replenishment
Trong nhóm lỗi mức cao, SAP Security Note 3732471 vá một command injection trong SAP Forecasting and Replenishment. Lỗ hổng này được theo dõi dưới mã CVE-2026-34259 với CVSS 8.2.
Lỗi yêu cầu một tác nhân cục bộ có đặc quyền cao, nhưng hậu quả có thể rất nghiêm trọng: thực thi lệnh tùy ý trên hệ điều hành nền, chiếm quyền điều khiển host và mở rộng sang các hệ thống khác trong mạng nội bộ.
Đây là dạng lỗ hổng CVE cần được vá sớm trong các môi trường có quyền truy cập quản trị tập trung hoặc tích hợp nhiều thành phần SAP nội bộ.
Ảnh hưởng hệ thống
- Thực thi lệnh tùy ý trên hệ điều hành nền.
- Nguy cơ chiếm quyền root nếu chuỗi khai thác tiếp diễn.
- Hỗ trợ lateral movement trong mạng nội bộ.
- Tăng khả năng hệ thống bị tấn công theo chuỗi đa bước.
Lỗ hổng CVE trong SAP NetWeaver Application Server for ABAP
SAP cũng ghi nhận một lỗ hổng CVE mức trung bình trong SAP NetWeaver Application Server for ABAP, được theo dõi là CVE-2026-40135. Vấn đề nằm ở command injection.
Dù mức độ thấp hơn các lỗi nghiêm trọng ở trên, lỗ hổng này vẫn có thể bị lợi dụng nếu kẻ tấn công đã có điều kiện truy cập phù hợp. Trong môi trường doanh nghiệp, các lỗ hổng CVE dạng này thường là mắt xích trong chuỗi khai thác rộng hơn.
Thông tin tham chiếu từ NVD có thể được đối chiếu tại: NVD – National Vulnerability Database.
Các bản vá liên quan đến kiểm soát truy cập và web security
Bên cạnh các lỗi thực thi lệnh và xác thực, đợt cập nhật tháng 5/2026 còn sửa nhiều vấn đề khác như missing authorization checks trong các mô-đun nghiệp vụ, bao gồm SAP Strategic Enterprise Management và SAP S/4HANA Condition Maintenance.
SAP cũng xử lý các lỗ hổng cross-site scripting và cross-site request forgery trong BusinessObjects Business Intelligence Platform. Những lỗi này có thể ảnh hưởng đến an toàn thông tin của giao diện web, luồng phiên đăng nhập và các thao tác người dùng có quyền.
Trong nhóm lỗ hổng CVE này, rủi ro không chỉ đến từ việc truy cập trái phép mà còn từ khả năng lạm dụng các hành vi hợp lệ của ứng dụng để mở rộng phạm vi xâm nhập mạng.
Yêu cầu cập nhật bản vá ngay lập tức
SAP khuyến nghị khách hàng doanh nghiệp truy cập cổng hỗ trợ chính thức và áp dụng cập nhật bản vá theo mức ưu tiên khẩn cấp. Việc trì hoãn khiến môi trường tiếp tục phơi bày trước nguy cơ khai thác, nhất là với các lỗi dễ vũ khí hóa như SQL injection và missing authentication.
Để giảm rủi ro bảo mật, các đội vận hành cần rà soát toàn bộ sản phẩm bị ảnh hưởng, từ SAP NetWeaver đến SAPUI5 và SAP HANA Deployment Infrastructure deploy library, bảo đảm tất cả được nâng lên phiên bản an toàn mới nhất.
Lưu ý triển khai
- Ưu tiên vá các hệ thống đang phơi bày ra Internet.
- Kiểm tra lại quyền truy cập vào các thành phần ABAP và Commerce Cloud.
- Đối chiếu phiên bản đang chạy với security notes tương ứng.
- Giám sát dấu hiệu phát hiện xâm nhập trong log ứng dụng và cơ sở dữ liệu.
Tham chiếu kỹ thuật và rà soát lỗ hổng CVE
Danh sách mã cần theo dõi trong đợt cảnh báo CVE này gồm CVE-2026-34260, CVE-2026-34263, CVE-2026-34259 và CVE-2026-40135. Đây là nhóm lỗ hổng CVE có tác động trực tiếp đến tính bí mật, toàn vẹn và sẵn sàng của hệ thống SAP doanh nghiệp.
Trong thực tế vận hành, việc kết hợp bản vá bảo mật, kiểm tra quyền truy cập và giám sát nhật ký là yêu cầu tối thiểu để giảm khả năng hệ thống bị xâm nhập. Các tổ chức quản trị SAP nên đối chiếu thông tin từ cổng hỗ trợ chính thức và NVD trước khi triển khai thay đổi trên môi trường sản xuất.
- CVE-2026-34260: SQL injection trong SAP S/4HANA, CVSS 9.6.
- CVE-2026-34263: Missing authentication check trong SAP Commerce Cloud, CVSS 9.6.
- CVE-2026-34259: Command injection trong SAP Forecasting and Replenishment, CVSS 8.2.
- CVE-2026-40135: Command injection trong SAP NetWeaver Application Server for ABAP.
Lỗ hổng CVE trong hệ sinh thái SAP lần này cho thấy các lớp kiểm soát xác thực, phân quyền và xử lý đầu vào vẫn là bề mặt tấn công quan trọng cần được ưu tiên trong chiến lược an toàn thông tin và bảo mật mạng.
