Correctifs de sécurité critiques SAP : NetWeaver et Approuter
SAP publie des correctifs de sécurité critiques SAP pour combler des failles dans NetWeaver et Approuter. Découvrez comment sécuriser vos serveurs.

La publication récente de correctifs de sécurité critiques SAP pour juillet 2026 a déclenché une alerte majeure chez les responsables de la sécurité des systèmes d'information (RSSI). SAP a corrigé des failles de sécurité de niveau critique dans SAP NetWeaver et dans sa bibliothèque de routage web @sap/approuter. Ces composants gérant la passerelle d'accès web et l'authentification de milliers de grandes entreprises mondiales, ils constituent des cibles de choix pour les groupes d'attaquants avancés.
Dans cet article, nous analyserons les caractéristiques techniques de ces vulnérabilités, les risques d'exposition pour vos données d'entreprise et les procédures à suivre pour appliquer ces correctifs de manière sécurisée.
Détails des failles de sécurité dans NetWeaver et Approuter
Les correctifs publiés en urgence ce mois-ci se concentrent sur le serveur d'applications Java de SAP NetWeaver ainsi que sur le module de routage applicatif cloud (@sap/approuter). NetWeaver constitue le cœur opérationnel de l'intégration logicielle SAP (gérant les modules finance, logistique et RH), tandis qu'Approuter gère l'acheminement des flux HTTP et fait office de point d'entrée unique pour les applications déployées sur SAP BTP (Business Technology Platform).
La vulnérabilité majeure identifiée dans @sap/approuter permet à des attaquants distants de contourner l'authentification en exploitant une validation incorrecte de la signature des jetons JWT (JSON Web Tokens). Concernant SAP NetWeaver AS Java, le problème réside dans un manque de contrôle des données d'entrée sur certains services réseau. Ce défaut permet à un attaquant non authentifié d'exécuter du code à distance (RCE) sur le serveur web, ce qui lui donne un accès complet à la base de données SAP associée.
En raison de la sévérité de ces failles (avec des scores CVSS supérieurs à 9.0), l'installation de ces mises à jour est cruciale pour préserver la conformité réglementaire (RGPD) et éviter la fuite de secrets industriels.
Analyse d'impact et vecteurs d'attaque
L'exploitation de ces vulnérabilités ne requiert aucune interaction avec un utilisateur légitime. Les vecteurs d'attaque reposent sur les mécanismes suivants :
- Contournement de la validation JWT dans Approuter : L'attaquant falsifie un jeton JSON en modifiant l'algorithme de signature. Le serveur accepte alors le jeton sans vérification de clé, octroyant des droits d'administration.
- Exécution de code à distance sur NetWeaver : À travers les ports réseau SOAP ou d'administration exposés sur internet, l'attaquant envoie une requête HTTP contenant une charge utile malveillante qui force l'application Java à charger des classes hostiles.
- Piratage de la base de données centrale : Une fois le premier point d'accès forcé, l'attaquant effectue des mouvements latéraux pour voler les données comptables, les secrets industriels et les informations personnelles des clients.
Pour minimiser ces risques de conception applicative, les équipes de développement doivent auditer leur code. Vous pouvez vous référer à notre guide méthodologique sur l'audit de code SAST et DAST pour le développement logiciel sécurisé.
Tableau comparatif des vulnérabilités corrigées
Ce tableau résume les caractéristiques des failles ciblées par les derniers correctifs SAP :
| Composant SAP | Identifiant CVE | Score CVSS | Impact Technique Principal | Action Corrective |
|---|---|---|---|---|
| SAP NetWeaver AS Java | CVE-2026-38291 | 9.8 | Exécution de code à distance (RCE) | Appliquer le Support Package / Restreindre les ports |
| @sap/approuter | CVE-2026-39102 | 9.1 | Contournement de jeton JWT | Mettre à jour la dépendance NPM |
| SAP NetWeaver RFC Client | CVE-2026-38295 | 7.5 | Déni de service (DoS) | Remplacer le binaire client |
| SAP Business Technology Platform | CVE-2026-40112 | 8.8 | Divulgation de données de session | Mise à jour automatique par SAP (Cloud) |
Pour mieux cerner les menaces sur les sessions web suite à une attaque de contournement, lisez notre analyse sur l'audit de sécurité des cookies et les attributs Secure, HttpOnly et SameSite.
Processus de déploiement des correctifs de sécurité
Afin d'installer ces correctifs de sécurité critiques SAP dans vos environnements de production et de développement, suivez ce protocole.
Étape 1 : Analyser vos dépendances Approuter obsolètes
Pour vos projets Node.js déployés sur SAP BTP, accédez à la console de développement pour vérifier si vous utilisez une version vulnérable d'Approuter :
# Lister la version installée du paquet Approuter
npm list @sap/approuter
# Lancer un scan de sécurité local des dépendances
npm audit
Étape 2 : Mettre à jour le paquet vers la version corrigée
Modifiez votre fichier package.json afin de pointer vers la version sécurisée d'Approuter, puis régénérez votre fichier de verrouillage de dépendances :
# Installer la version saine la plus récente d'Approuter
npm install @sap/approuter@latest --save
Étape 3 : Déployer les correctifs sur NetWeaver via SUM
Pour les infrastructures sur site (on-premises), téléchargez les correctifs officiels depuis le portail de support SAP et installez-les à l'aide de l'outil SAP Software Update Manager (SUM). Pensez à limiter l'accès externe à ces serveurs pendant la phase de mise à jour pour éviter toute tentative d'exploitation au moment du redémarrage des services.
Renforcement de la sécurité dans le cycle de développement
Garantir la sécurité d'un ERP complexe comme SAP nécessite d'adopter des règles de codage strictes dès le début du projet. Pour les startups et entreprises en pleine expansion, concevoir une architecture logicielle robuste dès le départ est un prérequis majeur ; découvrez nos conseils pratiques sur la cybersécurité pour les startups et les architectures de code sécurisées.
Dans le cadre du développement d'interfaces d'administration web reliées aux passerelles SAP, le nettoyage du code front-end est recommandé. Nous vous invitons à utiliser notre outil minificateur CSS/JS. Il vous permet de supprimer les commentaires de debug et les paramètres de test de vos scripts et feuilles de styles de manière totalement confidentielle, le traitement se faisant localement dans votre navigateur internet sans envoi de fichiers sur des serveurs distants.
En outre, vérifiez que le chiffrement des disques de bases de données est bien actif pour éviter l'extraction de données au repos. Consultez notre article sur le chiffrement des données au repos et en transit.
Conclusion
Le déploiement des correctifs de sécurité critiques SAP de juillet 2026 montre à quel point les composants de sécurité web (tels que Approuter et NetWeaver AS Java) doivent être mis à jour régulièrement. Omettre ces correctifs expose votre entreprise à des risques d'intrusion et de vol de bases de données financières ou commerciales.
La mise en place de processus de vérification automatique des dépendances NPM, l'utilisation de minificateurs de code et l'installation systématique des correctifs SAP constituent les meilleures défenses pour vos infrastructures.
Sources et liens de référence :
- SAP Support Portal - Security Notes — Le portail officiel des correctifs de sécurité SAP.
- Wikipedia - SAP NetWeaver — Historique et architecture générale de NetWeaver.
- OWASP Secure Coding Practices — Le référentiel de bonnes pratiques de développement d'applications.
- Post connexe sur TecnoCrypter : Audit de code SAST et DAST : Analyse de sécurité


