- What: Multiple vulnerabilities have been discovered in SAP products.
- Impact: These vulnerabilities could lead to data breaches, security policy bypass, denial of service, remote code execution, and cross-site scripting (XSS).
- Affected: ABAP based systems versions ST-PI 2005_1_700, 2008_1_710, 740 and 758 without the latest security patch and Business One (B1 Client Memory Dump Files) versions B1_ON_HANA 10.0 and SAP-M-BO 10.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 10 février 2026 N° CERTFR-2026-AVI-0141 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits SAP Gestion du document Référence CERTFR-2026-AVI-0141 Titre Multiples vulnérabilités dans les produits SAP Date de la première version 10 février 2026 Date de la dernière version 10 février 2026 Source(s) Bulletin de sécurité SAP february-2026 du 10 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Non spécifié par l'éditeur Systèmes affectés ABAP based systems versions ST-PI 2005_1_700, 2008_1_710, 740 et 758 sans le dernier correctif de sécurité Business One (B1 Client Memory Dump Files) versions B1_ON_HANA 10.0 et SAP-M-BO 10.0 sans le dernier correctif de sécurité Business Server Pages Application (TAF_APPLAUNCHER) versions ST-PI 2008_1_700, 2008_1_710, 740 et 758 sans le dernier correctif de sécurité Business Workflow versions SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité BusinessObjects BI Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité BusinessObjects Business Intelligence Platform (AdminTools) versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité BusinessObjects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité BusinessObjects Enterprise (Central Management Console) versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité Commerce Cloud versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21 sans le dernier correctif de sécurité Commerce Cloud versions HY_COM 2205, COM_CLOUD 2211 et COM_CLOUD 2211-JDK21 sans le dernier correctif de sécurité CRM et S/4HANA (Scripting Editor) versions S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800 et 801 sans le dernier correctif de sécurité Document Management System versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606 et 617 sans le dernier correctif de sécurité Fiori App (Manage Service Entry Sheets - Lean Services) versions S4CORE 102, 103, 104, 105, 106 et 107 sans le dernier correctif de sécurité NetWeaver (JMS service) version J2EE-FRMW 7.50 sans le dernier correctif de sécurité NetWeaver and ABAP Platform (Application Server ABAP) versions [KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.16, 9.17 et 9.18] sans le dernier correctif de sécurité NetWeaver Application Server ABAP (applications based on GUI for HTML) versions KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12 et 9.14 sans le dernier correctif de sécurité NetWeaver Application Server ABAP and ABAP Platform versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 et 9.19 sans le dernier correctif de sécurité NetWeaver Application Server ABAP and S/4HANA versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité NetWeaver Application Server Java version LMNWABASICAPPS 7.50 sans le dernier correctif de sécurité NetWeaver AS ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917 et SAP_BASIS 918 sans le dernier correctif de sécurité S/4HANA Defense & Security (Disconnected Operations) versions EA-DFPS 600, 603, 604, 605, 606, 616, 617, 618, 619, 800, 801, 802, 803, 804, 805, 806, 807, 808 et 809 sans le dernier correctif de sécurité Solution Tools Plug-In (ST-PI) versions ST-PI 2008_1_700, 2008_1_710, 740 et 758 sans le dernier correctif de sécurité Strategic Enterprise Management (Balanced Scorecard in BSP Application) versions SEM-BW 600, 700, 602, 603, 604, 605, 634, 736, 746, 747, 748 et 800 sans le dernier correctif de sécurité Supply Chain Management versions SCMAPO 713, 714, SCM 700, 701, 702 et 712 sans le dernier correctif de sécurité Support Tools Plug-In versions ST-PI 2008_1_700, 2008_1_710, 740 et 758 sans le dernier correctif de sécurité Résumé De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité SAP february-2026 du 10 février 2026 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html Référence CVE CVE-2025-0059 https://www.cve.org/CVERecord?id=CVE-2025-0059 Référence CVE CVE-2025-12383 https://www.cve.org/CVERecord?id=CVE-2025-12383 Référence CVE CVE-2026-0484 https://www.cve.org/CVERecord?id=CVE-2026-0484 Référence CVE CVE-2026-0485 https://www.cve.org/CVERecord?id=CVE-2026-0485 Référence CVE CVE-2026-0486 https://www.cve.org/CVERecord?id=CVE-2026-0486 Référence CVE CVE-2026-0488 https://www.cve.org/CVERecord?id=CVE-2026-0488 Référence CVE CVE-2026-0490 https://www.cve.org/CVERecord?id=CVE-2026-0490 Référence CVE CVE-2026-0505 https://www.cve.org/CVERecord?id=CVE-2026-0505 Référence CVE CVE-2026-0508 https://www.cve.org/CVERecord?id=CVE-2026-0508 Référence CVE CVE-2026-0509 https://www.cve.org/CVERecord?id=CVE-2026-0509 Référence CVE CVE-2026-23681 https://www.cve.org/CVERecord?id=CVE-2026-23681 Référence CVE CVE-2026-23684 https://www.cve.org/CVERecord?id=CVE-2026-23684 Référence CVE CVE-2026-23685 https://www.cve.org/CVERecord?id=CVE-2026-23685 Référence CVE CVE-2026-23686 https://www.cve.org/CVERecord?id=CVE-2026-23686 Référence CVE CVE-2026-23687 https://www.cve.org/CVERecord?id=CVE-2026-23687 Référence CVE CVE-2026-23688 https://www.cve.org/CVERecord?id=CVE-2026-23688 Référence CVE CVE-2026-23689 https://www.cve.org/CVERecord?id=CVE-2026-23689 Référence CVE CVE-2026-24312 https://www.cve.org/CVERecord?id=CVE-2026-24312 Référence CVE CVE-2026-24319 https://www.cve.org/CVERecord?id=CVE-2026-24319 Référence CVE CVE-2026-24320 https://www.cve.org/CVERecord?id=CVE-2026-24320 Référence CVE CVE-2026-24321 https://www.cve.org/CVERecord?id=CVE-2026-24321 Référence CVE CVE-2026-24322 https://www.cve.org/CVERecord?id=CVE-2026-24322 Référence CVE CVE-2026-24323 https://www.cve.org/CVERecord?id=CVE-2026-24323 Référence CVE CVE-2026-24324 https://www.cve.org/CVERecord?id=CVE-2026-24324 Référence CVE CVE-2026-24325 https://www.cve.org/CVERecord?id=CVE-2026-24325 Référence CVE CVE-2026-24326 https://www.cve.org/CVERecord?id=CVE-2026-24326 Référence CVE CVE-2026-24327 https://www.cve.org/CVERecord?id=CVE-2026-24327 Référence CVE CVE-2026-24328 https://www.cve.org/CVERecord?id=CVE-2026-24328