48 3052-8500

CVE-2026-44748: Falha na autenticação SAML do SAP NetWeaver permite adulteração de identidades - OSTEC | Segurança digital de resultados

CVE 4min de Leitura - 11 de junho de 2026

CVE-2026-44748: Falha na autenticação SAML do SAP NetWeaver permite adulteração de identidades

CVE-2026-44748

This post is also available in: Português

A vulnerabilidade CVE-2026-44748 foi classificada como crítica e corrigida pela SAP durante o Security Patch Day de junho de 2026. Com pontuação CVSS 9.9, a falha afeta o SAP NetWeaver Application Server ABAP e a plataforma ABAP, permitindo que um invasor autenticado manipule mensagens SAML assinadas para adulterar informações de identidade e obter acesso indevido a sistemas e dados corporativos.

O problema está relacionado a um erro no processo de validação de assinaturas XML utilizadas durante a autenticação SAML, mecanismo amplamente empregado para Single Sign-On (SSO) em ambientes corporativos. A exploração bem-sucedida da vulnerabilidade pode comprometer a confidencialidade, a integridade e a disponibilidade dos sistemas afetados, tornando sua correção uma prioridade para organizações que utilizam soluções SAP.

O que é a SAP?

A SAP é uma das maiores fornecedoras de software corporativo do mundo, atendendo organizações de diferentes setores com soluções voltadas para gestão empresarial, finanças, recursos humanos, cadeia de suprimentos, manufatura e análise de dados.

Suas plataformas são amplamente utilizadas por grandes empresas e órgãos governamentais para administrar processos críticos de negócios. Por esse motivo, vulnerabilidades que afetam produtos SAP costumam receber elevada atenção da comunidade de segurança, já que uma exploração pode impactar operações essenciais e expor informações altamente sensíveis.

O que é o SAP NetWeaver AS ABAP?

O SAP NetWeaver Application Server ABAP é o servidor de aplicações que serve como base para diversas soluções SAP desenvolvidas na linguagem ABAP. Ele é responsável pela execução de aplicações de negócios, gerenciamento de sessões de usuários e integração com sistemas externos.

O componente também suporta mecanismos modernos de autenticação federada, incluindo o Security Assertion Markup Language (SAML), amplamente utilizado para implementar Single Sign-On entre aplicações corporativas.

Quando uma vulnerabilidade afeta esse mecanismo de autenticação, o impacto pode se estender a múltiplos sistemas integrados, ampliando significativamente a superfície de ataque da organização.

Entendendo a CVE-2026-44748

A CVE-2026-44748 é uma vulnerabilidade de XML Signature Wrapping, uma técnica que explora falhas na validação de assinaturas digitais em documentos XML.

Em condições normais, a assinatura digital garante que um documento não foi alterado após sua criação. No entanto, quando a implementação da validação é inadequada, um atacante pode modificar partes específicas do documento XML sem invalidar a assinatura original.

No caso do SAP NetWeaver AS ABAP e da plataforma ABAP, um usuário autenticado com privilégios comuns pode obter uma mensagem SAML legítima e assinada, alterar seu conteúdo e reenviar o documento modificado para o mecanismo de verificação. Devido à validação incorreta da assinatura XML, o sistema pode aceitar informações de identidade adulteradas como se fossem legítimas.

Essa condição possibilita a falsificação de atributos de identidade, a elevação de privilégios e o acesso não autorizado a recursos protegidos.

CWE associada: CWE-347

A vulnerabilidade está relacionada à CWE-347, classificada como Improper Verification of Cryptographic Signature.

Essa categoria descreve falhas em que um sistema não verifica corretamente a validade de assinaturas criptográficas utilizadas para garantir autenticidade e integridade de dados. Quando essa validação é inadequada, invasores podem modificar conteúdos assinados ou reutilizar assinaturas válidas para enganar os mecanismos de autenticação e autorização.

Em ambientes que dependem de SAML para autenticação federada, falhas desse tipo podem comprometer toda a cadeia de confiança entre provedores de identidade e aplicações corporativas.

Produtos afetados

Segundo a SAP, a vulnerabilidade afeta o SAP NetWeaver AS ABAP e a plataforma ABAP nos seguintes componentes SAP_BASIS:

  • 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 918 e 919.

Organizações que utilizam essas versões devem verificar imediatamente a aplicação das correções disponibilizadas pela fabricante.

Análise do CVSS 9.9

A CVE-2026-44748 recebeu pontuação CVSS de 9.9, sendo classificada como crítica.

A pontuação elevada é resultado da combinação de diversos fatores. A exploração ocorre remotamente pela rede, exige baixa complexidade técnica e não requer interação da vítima. Embora o invasor precise possuir uma conta autenticada, apenas privilégios mínimos são necessários para iniciar o ataque.

Além disso, a vulnerabilidade apresenta impacto elevado nos três pilares da segurança da informação:

  • Confidencialidade: informações sensíveis podem ser acessadas por usuários não autorizados.
  • Integridade: dados de identidade podem ser manipulados e utilizados para fraudes de autenticação.
  • Disponibilidade: a exploração pode causar interrupções no funcionamento normal das aplicações afetadas.

Possíveis impactos para as organizações

A exploração da CVE-2026-44748 pode permitir que um invasor assuma a identidade de outros usuários dentro do ambiente SAP, inclusive contas com privilégios elevados, dependendo da configuração do sistema e dos atributos SAML manipulados.

Em ambientes corporativos que utilizam Single Sign-On para integrar diversos sistemas, isso pode abrir caminho para movimentação lateral, acesso a informações estratégicas e comprometimento de processos críticos de negócio.

Outro aspecto preocupante é que muitos ambientes SAP estão integrados a sistemas financeiros, plataformas de recursos humanos e bancos de dados corporativos. Dessa forma, uma falha de autenticação pode ter consequências que vão além da própria aplicação vulnerável.

Existe exploração ativa?

Até o momento da divulgação das informações públicas sobre a CVE-2026-44748, não havia confirmação de exploração ativa em larga escala nem divulgação pública de provas de conceito amplamente utilizadas por atacantes.

No entanto, devido à criticidade da vulnerabilidade, à ampla adoção dos produtos afetados e ao fato de a falha envolver mecanismos de autenticação, especialistas recomendam a aplicação imediata das correções disponibilizadas pela SAP.

Correções e recomendações

A SAP corrigiu a vulnerabilidade por meio da Security Note 3746332, publicada durante o Security Patch Day de junho de 2026.

As organizações devem realizar uma avaliação imediata de seus ambientes SAP para identificar versões vulneráveis e aplicar os patches disponibilizados pela fabricante.

Além da atualização, recomenda-se revisar as configurações de autenticação federada, monitorar tentativas incomuns de autenticação SAML e validar se existem registros de acessos suspeitos envolvendo contas privilegiadas.

Ambientes que dependem fortemente de mecanismos de Single Sign-On devem tratar essa atualização como prioridade máxima, considerando o potencial impacto da exploração sobre identidades corporativas e sistemas críticos.

A CVE-2026-44748 reforça a importância de proteger mecanismos de autenticação e de aplicar rapidamente atualizações de segurança em plataformas corporativas. Em um cenário onde identidades digitais representam um dos principais alvos dos atacantes, falhas que permitem adulterar informações de autentação podem servir como ponto de entrada para comprometimentos muito mais amplos. Por isso, organizações que utilizam SAP NetWeaver AS ABAP e a plataforma ABAP devem priorizar a aplicação das correções e revisar seus controles de acesso para reduzir a exposição a esse tipo de ameaça.

This post is also available in: Português

CVE-2026-8633 e CVE-2026-8620: vulnerabilidades nos Web Server Plug-ins do IBM WebSphere exigem atualização imediata

Postagem anterior