Multiple critical vulnerabilities across SAP products, including remote code execution, SQL injection, and SSRF, are detailed in CERT-FR advisory AVI-0256. The article lists affected versions for numerous SAP components but does not provide specific CVSS scores or fixed version numbers. Organizations must consult the referenced SAP security bulletin from March 2026 for patch details and apply the latest security corrections to all listed, unpatched systems.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 10 mars 2026 N° CERTFR-2026-AVI-0256 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits SAP Gestion du document Référence CERTFR-2026-AVI-0256 Titre Multiples vulnérabilités dans les produits SAP Date de la première version 10 mars 2026 Date de la dernière version 10 mars 2026 Source(s) Bulletin de sécurité SAP march-2026 du 10 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Déni de service à distance Exécution de code arbitraire à distance Falsification de requêtes côté serveur (SSRF) Injection de code indirecte à distance (XSS) Injection SQL (SQLi) Non spécifié par l'éditeur Systèmes affectés Business One (Job Service) versions B1_ON_HANA 10.0 et SAP-M-BO 10.0 sans le dernier correctif de sécurité Business Warehouse (Service API) versions DW4CORE 200, 300, 400, PI_BASIS 2006_1_700, 701, 702, 730, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758 et 816 sans le dernier correctif de sécurité Customer Checkout 2.0 version SAP_CUSTOMER_CHECKOUT 2.0 sans le dernier correctif de sécurité GUI for Windows with active GuiXT version BC-FES-GUI 8.00 sans le dernier correctif de sécurité NetWeaver (Feedback Notification) versions SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75A, 75B, 75C, 75D, 75E, 75F, 75G, 75H, 75I et 816 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 730, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP versions SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP versions SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816 et SAP_BASIS 918 sans le dernier correctif de sécurité NetWeaver AS Java (Adobe Document Services) version ADSSAP 7.50 sans le dernier correctif de sécurité NetWeaver Enterprise Portal Administration version EP-RUNTIME 7.50 sans le dernier correctif de sécurité Quotation Management Insurance application (FS-QUO) version FS-QUO 800 sans le dernier correctif de sécurité S/4HANA HCM Portugal and ERP HCM Portugal versions S4HCMCPT 100, 101, 102, SAP_HRCPT 600, 604 et 608 sans le dernier correctif de sécurité Solution Tools Plug-In (ST-PI) versions ST-PI 2008_1_700, 2008_1_710, 740 et 758 sans le dernier correctif de sécurité Supply Chain Management versions SCMAPO 713, 714, S4CORE 102, 103, 104, S4COREOP 105, 106, 107, 108, 109, SCM 700, 701, 702 et 712 sans le dernier correctif de sécurité Résumé De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une injection SQL (SQLi). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité SAP march-2026 du 10 mars 2026 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2026.html Référence CVE CVE-2019-17571 https://www.cve.org/CVERecord?id=CVE-2019-17571 Référence CVE CVE-2025-9230 https://www.cve.org/CVERecord?id=CVE-2025-9230 Référence CVE CVE-2025-9232 https://www.cve.org/CVERecord?id=CVE-2025-9232 Référence CVE CVE-2026-0489 https://www.cve.org/CVERecord?id=CVE-2026-0489 Référence CVE CVE-2026-24309 https://www.cve.org/CVERecord?id=CVE-2026-24309 Référence CVE CVE-2026-24310 https://www.cve.org/CVERecord?id=CVE-2026-24310 Référence CVE CVE-2026-24311 https://www.cve.org/CVERecord?id=CVE-2026-24311 Référence CVE CVE-2026-24313 https://www.cve.org/CVERecord?id=CVE-2026-24313 Référence CVE CVE-2026-24316 https://www.cve.org/CVERecord?id=CVE-2026-24316 Référence CVE CVE-2026-24317 https://www.cve.org/CVERecord?id=CVE-2026-24317 Référence CVE CVE-2026-27684 https://www.cve.org/CVERecord?id=CVE-2026-27684 Référence CVE CVE-2026-27685 https://www.cve.org/CVERecord?id=CVE-2026-27685 Référence CVE CVE-2026-27686 https://www.cve.org/CVERecord?id=CVE-2026-27686 Référence CVE CVE-2026-27687 https://www.cve.org/CVERecord?id=CVE-2026-27687 Référence CVE CVE-2026-27688 https://www.cve.org/CVERecord?id=CVE-2026-27688 Référence CVE CVE-2026-27689 https://www.cve.org/CVERecord?id=CVE-2026-27689 Gestion détaillée du document le 10 mars 2026 Version initiale