CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27674

MediumCVSS 6.1
Published: Updated: Translated: NVD NIST

Summary

W wyniku podatności na wstrzykiwanie kodu w SAP NetWeaver Application Server Java (Web Dynpro Java), nieautoryzowany atakujący może dostarczyć spreparowane dane, które są interpretowane przez aplikację, co prowadzi do odwołania się do treści kontrolowanej przez atakującego. Jeśli ofiara uzyska dostęp do dotkniętej funkcjonalności, ta treść może zostać wykonana w przeglądarce ofiary.

Risk Assessment

Może to prowadzić do kompromitacji sesji, co pozwala atakującemu na wykonanie dowolnego kodu po stronie klienta, wpływając na poufność i integralność aplikacji, bez wpływu na dostępność.

Recommendation

Zaleca się aktualizację SAP NetWeaver do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby ograniczyć możliwość wstrzykiwania kodu.

Original NVD description (English source)

Due to a Code Injection vulnerability in SAP NetWeaver Application Server Java (Web Dynpro Java), an unauthenticated attacker could supply crafted input that is interpreted by the application and causes it to reference attacker-controlled content. If a victim accesses the affected functionality, that attacker-controlled content could be executed in the victim�s browser, potentially resulting in session compromise. This could allow the attacker to execute arbitrary client-side code, impacting the confidentiality and integrity of the application, with no impact to availability.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS