// 2 CRITICAL · 4 ZERO-DAY · 5 CVE · 1 EXPLOIT NELLE ULTIME 24H
CVE-2026-44747 è un out-of-bounds write in SAP NetWeaver ABAP kernel con impatto totale su confidenzialità, integrità e disponibilità. Il workaround rompe

SAP ha rilasciato aggiornamenti di sicurezza il 14 luglio 2026 come parte del July 2026 Security Patch Day. CVE-2026-44747, con punteggio CVSS 9.9, è la vulnerabilità più grave del bollettino: un out-of-bounds write nel kernel di SAP NetWeaver Application Server ABAP che espone a memory corruption con unico prerequisito l'autenticazione utente. La correzione richiede il ricompilato del kernel, non una semplice modifica configurativa, e l'alternativa temporanea disabilita SAP GUI for HTML, funzionalità usata in ambienti enterprise dove il thin client è standard operativo.

Punti chiave
  • CVE-2026-44747 ha CVSS 9.9 secondo il record NVD ufficiale con vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, il massimo del patch day luglio 2026.
  • La vulnerabilità è un out-of-bounds write (CWE-787) in SAP NetWeaver Application Server ABAP: un attaccante autenticato sfrutta errori logici nella gestione della memoria per causare memory corruption con impatto alto su confidenzialità, integrità e disponibilità.
  • Le versioni kernel affette coprono i branch 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19, 9.20 e le corrispondenti varianti KRNL64, secondo l'elenco tecnico di SOCRadar e la conferma del record NVD.
  • Il workaround via transazione SICF impedisce l'apertura delle transazioni in SAP GUI for HTML, rendendolo inapplicabile per molti clienti che dipendono dall'accesso web al sistema.

Il meccanismo: perché un errore di allocazione memoria vale 9.9

La descrizione tecnica fornita da SAP e riportata da BleepingComputer è inequivocabile: «SAP NetWeaver Application Server ABAP allows an authenticated attacker to leverage logical errors in memory management to cause a memory corruption that could lead to unauthorized data access, modification, or system unavailability. This has high impact on confidentiality, integrity, and availability of the application.» Il record NVD (National Vulnerability Database) conferma la stessa lettura con il punteggio CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.

L'attacco non richiede privilegi amministrativi: basta un utente autenticato. La portata del cambio è «changed» (S:C nel vector), il che significa che la compromissione di una singola istanza ABAP si propaga oltre il suo scope di sicurezza. In pratica, un utente con credenziali valide — anche senza autorizzazioni speciali — può corrompere la memoria heap del kernel ABAP e da lì ottenere lettura o scrittura arbitraria su dati aziendali, alterare record transazionali o causare denial of service sul sistema ERP.

SOCRadar classifica la debolezza come CWE-787, out-of-bounds write. Questa categoria di bug è tra le più pericolose in codebase kernel perché il punto di corruzione è la stessa struttura dati che gestisce l'allocazione dinamica: sovrascrivere metadati dell'heap può redirezionare puntatori e aprire primitive di attacco successive. Non è un buffer overflow su stack con mitigazioni moderne (canary, ASLR, NX) facilmente aggirabili; è corruzione dello heap del kernel ABAP, dove le contromisure sono più rare e la superficie di attacco è il runtime stesso dei processi business-critical.

Il dilemma operativo: patchare il kernel o perdere GUI HTML

La correzione richiede l'installazione di una versione patchata del kernel ABAP. Questo non è un aggiornamento di componente applicativo che si dispiega senza fermare il sistema: il kernel è il runtime fondamentale di NetWeaver, quindi l'operazione implica downtime pianificato, test di regressione e coordinamento con il vendor o l'MSP.

Come alternativa temporanea, SAP propone — e Onapsis Research Labs ha documentato — la disabilitazione di tutti i nodi ICF (Internet Communication Framework) con una proprietà specifica tramite la transazione SICF. Ma la limitazione è immediata: «Since the workaround will disable opening transactions in SAP GUI for HTML, it is not an option for all customers and it is strongly recommended to install the patching ABAP Kernel version», come riporta The Hacker News citando Onapsis. SOCRadar aggiunge che «this measure also prevents users from opening transactions through SAP GUI for HTML, making it unsuitable for some environments».

La scelta è binaria e scomoda. Per le organizzazioni che hanno standardizzato sull'accesso web a SAP — una configurazione comune in deployment recenti e in ambienti con thin client — il workaround equivale a interrompere operativamente l'accesso degli utenti. Per quelle che mantengono SAP GUI for Windows o accesso tradizionale, è tecnicamente fattibile ma richiede verifica puntuale dei servizi ICF attivi. In entrambi i casi, la raccomandazione delle fonti converge: il kernel patchato è la soluzione definitiva.

«The vulnerability was patched with support from Onapsis Research Labs.» — SOCRadar

Il contesto del patch day: tre critiche e nessuna exploitation nota

Il July 2026 Security Patch Day ha incluso 16 nuove security notes e 1 advisory GitHub, secondo SOCRadar. Oltre a CVE-2026-44747, le fonti identificano altre due vulnerabilità critiche: CVE-2026-27690 in SAP Approuter (CVSS 9.1, HTTP request smuggling) e CVE-2026-44761 in Commerce Cloud (CVSS 9.1, default credentials). I record NVD ufficiali confermano entrambi i punteggi con i rispettivi vector: per CVE-2026-27690 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H; per CVE-2026-44761 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N.

Nessuna delle fonti primarie — The Hacker News, BleepingComputer, SecurityWeek, SecurityOnline — riporta evidenze di exploitation in-the-wild al momento della pubblicazione. BleepingComputer cita esplicitamente SAP: «company has yet to find evidence that the vulnerabilities patched today have been exploited in attacks». Questa assenza non elimina il rischio: SAP è da tempo nel mirino di gruppi ransomware e figure come CISA mantengono un catalogo KEV (Known Exploited Vulnerabilities) che include 14 falle SAP, alcune effettivamente sfruttate da gang criminali, come documentato da BleepingComputer in precedenti report.

La finestra di remediation esiste, ma la storia delle supply chain attack e dei patch SAP suggerisce che gli attori monitorino i bollettini per reverse-engineering post-patch. Il giugno 2026 aveva visto un incidente di supply chain su pacchetti npm falsificati con branding SAP; luglio 2026 presenta invece una superficie di attacco interna, nel kernel, con impatto enterprise potenzialmente più ampio perché tocca il runtime di quasi tutti i sistemi ERP core.

Cosa fare adesso

  • Verificare la versione del kernel ABAP in uso confrontandola con l'elenco delle branch affette: 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19, 9.20 e varianti KRNL64, secondo i dati di SOCRadar e il record NVD CVE-2026-44747.
  • Valutare l'applicabilità del workaround SICF mappando le dipendenze da SAP GUI for HTML: se l'ambiente usa thin client web, il workaround è incompatibile con le operazioni.
  • Pianificare il downtime per l'installazione del kernel patchato in coordinamento con il vendor SAP o l'MSP di riferimento, includendo fase di test non produttivo data la criticità del componente.
  • Monitorare il catalogo CISA KEV e i bollettini SAP per eventuale emergenza di exploitation in-the-wild, dato che al momento nessuna fonte conferma attacchi attivi ma il profilo di rischio rimane elevato.

Lettura: perché il kernel ABAP è il posto peggiore per un 9.9

La gravità di CVE-2026-44747 non sta solo nel numero. Un bug con lo stesso CVSS in un'applicazione perimetrale si mitiga con WAF, rate limiting, segmentazione di rete. Un bug nel kernel ABAP si trova oltre ogni layer perimetrale: l'attaccante è già autenticato, il codice vulnerabile ha accesso alla memoria del runtime che esegue transazioni finanziarie, logistica, risorse umane. Il Web Application Firewall non intercetta un out-of-bounds write nell'allocatore heap del kernel.

La struttura del vector NVD è eloquente: attack vector network (AV:N), complessità bassa (AC:L), privilegi low (PR:L), interazione utente none (UI:N), scope changed (S:C). Ogni parametro indica attacco automatizzabile, scalabile, con escalation implicita. Per i CISO, la partita si gioca adesso nella velocità di verifica delle versioni kernel e nella negoziazione del downtime con le business unit. Il workaround SICF è un test del dolore: chi non può permettersi di perdere SAP GUI for HTML ha già la risposta su quanto sia critica la funzionalità, e quanto urgentemente vada patchato il kernel.

Onapsis Research Labs, citato da SOCRadar come contributore diretto alla risoluzione, ha anche documentato le limitazioni del workaround. La combinazione di competenza tecnica e consapevolezza operativa riflette la maturità della ricerca su SAP security, un campo dove i ricercatori devono bilanciare disclosure responsabile con la consapevolezza che molti clienti enterprise muovono lente sui cambi di kernel. Il 14 luglio 2026 segna un altro punto di tensione in questa dinamica.

Domande frequenti

Perché il workaround SICF non è sufficiente?

Perché disabilita l'accesso alle transazioni via SAP GUI for HTML, una modalità d'uso standard in molti ambienti enterprise. Le fonti citate concordano nel considerarlo temporaneo e non universalmente applicabile.

CVE-2026-44747 consente esecuzione remota di codice arbitrario?

Il brief e le fonti documentano memory corruption con potenziale accesso, modifica dati e DoS. Il meccanismo è out-of-bounds write (CWE-787). Non emergono nelle fonti claim esplicite di RCE come esito garantito: l'impatto documentato è su confidenzialità, integrità e disponibilità con scope changed.

Quante vulnerabilità ha corretto SAP nel patch day?

Secondo SOCRadar, 16 nuove security notes e 1 advisory GitHub. BleepingComputer e The Hacker News identificano tre critiche: CVE-2026-44747 (CVSS 9.9), CVE-2026-27690 (CVSS 9.1) e CVE-2026-44761 (CVSS 9.1).

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. bleepingcomputer.com
  3. securityweek.com
  4. isc.sans.edu
  5. securityonline.info
  6. socradar.io
  7. nvd.nist.gov
  8. cve.org