SAP ha publicado 22 notas de seguridad nuevas y actualizadas como parte de su Patch Day de abril de 2026. La entrega incluye una nota HotNews con puntuación CVSS 9.9 y dos notas de alta prioridad.
La nota HotNews (SAP Security Note 3719353, CVE-2026-27681) corrige una vulnerabilidad de inyección SQL en SAP Business Planning and Consolidation y SAP Business Warehouse. El problema radica en un programa ABAP que permite a un usuario con privilegios bajos subir un archivo con sentencias SQL arbitrarias que luego se ejecutan. El parche desactiva todo el código ejecutable del programa afectado. SAP indica como solución temporal revocar el objeto de autorización S_GUI (Actividad 60 – Upload); esta medida puede afectar otras aplicaciones.
También se publicaron dos notas de alta prioridad. SAP Security Note 3678282 (CVE-2026-0485, CVSS 7.5) es una actualización de una vulnerabilidad de denegación de servicio en SAP BusinessObjects BI Platform. SAP Security Note 3731908 (CVE-2026-34256, CVSS 7.1) corrige una verificación de autorización ausente en SAP ERP y SAP S/4HANA (nube privada y on-premise). La vulnerabilidad permite a un atacante autenticado ejecutar un programa ABAP específico y sobrescribir cualquier programa ejecutable de ocho caracteres.
Los Onapsis Research Labs apoyaron a SAP en la corrección de seis vulnerabilidades cubiertas por cinco notas, incluida la nota HotNews. Las notas adicionales con contribución del equipo son:
| SAP Note | Type | Description (CVE) | Component | Priority | CVSS |
| 3719353 | New | SQL Injection (CVE-2026-27681) | EPM-BPC-NW-SQE | HotNews | 9.9 |
| 3678282 | Update | Denial of service (CVE-2026-0485) | BI-BIP-SRV | High | 7.5 |
| 3731908 | New | Missing Authorization check (CVE-2026-34256) | CA-JVA-JVA | High | 7.1 |
| 3680767 | New | Information Disclosure (CVE-2026-34264) | PA-PA-XX | Medium | 6.5 |
| 3715177 | New | Missing Authorization check (CVE-2026-27678) | PM-EQM-RS | Medium | 6.5 |
| 3715097 | New | Missing Authorization check (CVE-2026-27677) | PM-EQM-EQ | Medium | 6.5 |
| 3696239 | New | Denial of Service (CVE-2025-64775) | BI-BIP-SEC | Medium | 6.5 |
| 3705094 | New | Missing Authorization check (CVE-2026-34261) | PA-OS | Medium | 6.5 |
| 3716767 | New | Missing Authorization check (CVE-2026-27679) | PM-EQM-RS | Medium | 6.5 |
| 3689080 | Update | Server-Side Request Forgery (CVE-2026-24316) | BC-TWB-TST-ECA | Medium | 6.4 |
| 3692004 | New | Open Redirect (CVE-2026-34257) | BC-FES-ITS | Medium | 6.1 |
| 3719397 | New | Code Injection (CVE-2026-27674) | BC-WD-JAV | Medium | 6.1 |
| 3645228 | New | Cross-Site Scripting (CVE-2026-0512) | SRM-EBP-CAT | Medium | 6.1 |
| 3730639 | New | Information Disclosure (CVE-2026-34262) | HAN-CPT-CPT2-DBX | Medium | 5.0 |
| 3703813 | New | Missing Authorization Check (CVE-2026-27673) | IS-U-TO-MI | Medium | 4.9 |
| 3703276 | New | Missing Authorization check (CVE-2026-27672) | SCM-BAS-INT-MD | Medium | 4.3 |
| 3711682 | New | Missing Authorization check (CVE-2026-27676) | PM-EQM-RS | Medium | 4.3 |
| 3530544 | Update | Missing Authorization check (CVE-2025-42899) | FI-FIO-GL-TRA | Medium | 4.3 |
| 3702191 | New | Insecure Session Management (CVE-2026-24318) | BI-BIP-INV | Medium | 4.2 |
| 3698216 | New | Reflected XSS (CVE-2026-27683) | BI-BIP-INV | Medium | 4.1 |
| 3665042 | Update | CSS Injection (CVE-2026-27680) | BC-WD-UR | Low | 3.1 |
| 3723097 | New | Code Injection (CVE-2026-27675) | CA-LT-PCL | Low | 2.0 |
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de