Multiple vulnerabilities across a wide range of SAP products, including Application Server ABAP, BusinessObjects, Commerce Cloud, and S/4HANA, pose risks such as remote code execution, SQL injection, and denial of service. The article references several CVEs, including CVE-2025-68161 (CVSS 4.8) affecting Apache Log4j versions >=2.0.1 and <2.25.3, which is fixed in version 2.25.3. Affected systems are specifically those running the listed SAP component versions without the latest security patch, and administrators are advised to apply the relevant SAP security updates immediately.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 12 mai 2026 N° CERTFR-2026-AVI-0567 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits SAP Gestion du document Référence CERTFR-2026-AVI-0567 Titre Multiples vulnérabilités dans les produits SAP Date de la première version 12 mai 2026 Date de la dernière version 12 mai 2026 Source(s) Bulletin de sécurité SAP may-2026 du 12 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Injection de requêtes illégitimes par rebond (CSRF) Injection SQL (SQLi) Non spécifié par l'éditeur Systèmes affectés Application Server ABAP for NetWeaver and ABAP Platform versions SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité Business Server Pages Application (TAF_APPLAUNCHER) versions ST-PI 740 et 758 sans le dernier correctif de sécurité BusinessObjects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité Commerce Cloud (Apache Log4j) versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21 sans le dernier correctif de sécurité Commerce cloud versions HY_COM 2205, COM_CLOUD 2211 et 2211-JDK21 sans le dernier correctif de sécurité Financial Consolidation version FINANCE 1010 sans le dernier correctif de sécurité Forecasting & Replenishment versions SCM 702, 712, 713 et 714 sans le dernier correctif de sécurité HANA Deployment Infrastructure (HDI) deploy library version XS_HDI_DEPLOYER 1.00 sans le dernier correctif de sécurité Incentive and Commission Management versions SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 604, 605, 606 et 617 sans le dernier correctif de sécurité NetWeaver Application Server ABAP (Applications based on Business Server Pages) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816 et SAP_BASIS 918 sans le dernier correctif de sécurité NetWeaver Application Server for ABAP and ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité S/4HANA (Enterprise Search for ABAP) versions SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité S/4HANA Condition Maintenance versions S4CORE 102, 103, 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité SAPUI5 (Search UI) versions SAPUI5 1.108, 1.120, 1.136, 1.142, 1.71, 1.84 et 1.96 sans le dernier correctif de sécurité Strategic Enterprise Management (BSP application Balanced Scorecard Wizard) versions SEM-BW 605, 700, 736, 746, 747, 748, 749 et 800 sans le dernier correctif de sécurité Résumé De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité SAP may-2026 du 12 mai 2026 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html Référence CVE CVE-2025-68161 https://www.cve.org/CVERecord?id=CVE-2025-68161 Référence CVE CVE-2026-0502 https://www.cve.org/CVERecord?id=CVE-2026-0502 Référence CVE CVE-2026-27682 https://www.cve.org/CVERecord?id=CVE-2026-27682 Référence CVE CVE-2026-34258 https://www.cve.org/CVERecord?id=CVE-2026-34258 Référence CVE CVE-2026-34259 https://www.cve.org/CVERecord?id=CVE-2026-34259 Référence CVE CVE-2026-34260 https://www.cve.org/CVERecord?id=CVE-2026-34260 Référence CVE CVE-2026-34263 https://www.cve.org/CVERecord?id=CVE-2026-34263 Référence CVE CVE-2026-40129 https://www.cve.org/CVERecord?id=CVE-2026-40129 Référence CVE CVE-2026-40131 https://www.cve.org/CVERecord?id=CVE-2026-40131 Référence CVE CVE-2026-40132 https://www.cve.org/CVERecord?id=CVE-2026-40132 Référence CVE CVE-2026-40133 https://www.cve.org/CVERecord?id=CVE-2026-40133 Référence CVE CVE-2026-40134 https://www.cve.org/CVERecord?id=CVE-2026-40134 Référence CVE CVE-2026-40135 https://www.cve.org/CVERecord?id=CVE-2026-40135 Référence CVE CVE-2026-40136 https://www.cve.org/CVERecord?id=CVE-2026-40136 Référence CVE CVE-2026-40137 https://www.cve.org/CVERecord?id=CVE-2026-40137 Gestion détaillée du document le 12 mai 2026 Version initiale