Correções Críticas da SAP para NetWeaver e Approuter
A SAP publicou correções críticas da SAP para resolver vulnerabilidades graves no NetWeaver e Approuter. Veja como aplicar as atualizações hoje.

A recente publicação de correções críticas da SAP de julho de 2026 colocou as equipes de TI e segurança cibernética em alerta máximo. A gigante dos softwares corporativos corrigiu vulnerabilidades severas em sua infraestrutura principal, englobando o servidor de aplicações SAP NetWeaver e a biblioteca de gerenciamento de sessões e rotas @sap/approuter. Sendo estes componentes a porta de entrada para sistemas ERP utilizados por milhares de empresas globais, a correção imediata dessas brechas é uma prioridade crítica de segurança.
Neste artigo, analisaremos detalhadamente a natureza técnica das falhas, as ameaças reais para a integridade dos dados organizacionais e os passos de engenharia necessários para aplicar as correções com segurança.
Detalhes das vulnerabilidades no NetWeaver e Approuter
As correções de segurança mais urgentes emitidas pela SAP neste mês concentram-se no servidor de aplicações Java do SAP NetWeaver e no roteador de aplicações em nuvem (@sap/approuter). Enquanto o NetWeaver atua como a infraestrutura de integração que conecta módulos financeiros, de recursos humanos e de inventário, o Approuter atua como o ponto único de entrada para aplicações web rodando na plataforma SAP BTP (Business Technology Platform).
A falha principal corrigida no Approuter permitia a invasores burlar as validações de tokens de acesso ao explorar falhas de assinatura digital nos tokens JWT (JSON Web Tokens). No caso do SAP NetWeaver AS Java, o problema envolve um erro na validação de dados recebidos por alguns serviços web específicos expostos. Isso viabiliza a execução remota de código (RCE) por atacantes sem credenciais válidas, comprometendo totalmente os servidores de dados corporativos acoplados.
Devido à alta criticidade das ameaças (com pontuações de severidade CVSS acima de 9.0), a implantação dessas atualizações de segurança é vital para evitar invasões e garantir conformidade com as leis de privacidade de dados.
Análise de impacto e vetores de ataque
A exploração dessas falhas ocorre de forma silenciosa e não exige ações por parte de usuários legítimos. Os cenários de ataque mais prováveis incluem:
- Desvio de Autenticação no Approuter: O atacante forja um cabeçalho JWT alterando os algoritmos de verificação. O enrutador de aplicações aceita o token fraudulento, concedendo privilégios elevados de acesso administrativo.
- Execução de Código no NetWeaver: Através de portas SOAP ou painéis administrativos expostos sem a devida blindagem à internet, o invasor envia chamadas de rede que forçam a execução de binários remotos maliciosos no servidor de aplicação.
- Sequestro do Banco de Dados SAP: Uma vez que o atacante obtém acesso ao servidor local, ele pode vasculhar esquemas SQL, ler registros confidenciais e roubar segredos de propriedade intelectual corporativa.
Organizações que desenvolvem customizações para ERPs precisam auditar constantemente seus ambientes de software. Para aprender como aplicar testes sistemáticos nas aplicações, confira nosso artigo sobre auditoria de código SAST e DAST e segurança no desenvolvimento.
Tabela comparativa de vulnerabilidades corrigidas
Abaixo, resumimos os dados principais das falhas mitigadas com o pacote de atualizações lançado pela SAP:
| Componente SAP | Identificador CVE | Índice CVSS | Consequência Técnica Principal | Medida de Correção |
|---|---|---|---|---|
| SAP NetWeaver AS Java | CVE-2026-38291 | 9.8 | Execução Remota de Código (RCE) | Aplicar patch oficial via SUM / Blindar portas |
| @sap/approuter | CVE-2026-39102 | 9.1 | Desvio de Autenticação de Token JWT | Atualizar versão da dependência NPM |
| SAP NetWeaver RFC Client | CVE-2026-38295 | 7.5 | Negação de Serviço (DoS) | Atualizar componentes clientes nativos |
| SAP Business Technology Platform | CVE-2026-40112 | 8.8 | Vazamento de Dados de Sessão | Correção central em nuvem (automático) |
Para entender melhor as implicações de invasões a tokens e cookies de sessão, recomendamos a leitura de nosso post sobre análise de segurança de cookies utilizando diretivas Secure, HttpOnly e SameSite.
Passos para implantar as atualizações de segurança
Para proteger suas instalações do SAP NetWeaver ou atualizar os pacotes Node.js que contêm o Approuter, siga estas etapas recomendadas de remediação de sistemas.
Passo 1: Identificar dependências inseguras do Approuter
Nos projetos de software baseados em Node.js que servem como portais para o ecossistema SAP, inspecione a versão atual utilizada do roteador de aplicações rodando:
# Verificar qual versão do pacote do approuter está em uso no repositório
npm list @sap/approuter
# Executar a auditoria automatizada de falhas NPM
npm audit
Passo 2: Atualizar a dependência NPM para a versão segura
Ajuste as definições de dependência em seu arquivo package.json para apontar para a versão corrigida (ou posterior) e atualize os arquivos executando:
# Atualizar e instalar a versão segura mais recente do pacote de rotas
npm install @sap/approuter@latest --save
Passo 3: Executar o SAP Software Update Manager (SUM)
Para sistemas baseados em servidores locais (on-premises), baixe os Support Packages (SAPs) adequados diretamente do portal de suporte oficial da SAP e utilize a ferramenta Software Update Manager para aplicar as atualizações. Restrinja o tráfego de rede externo provisoriamente durante a reinicialização dos servidores para assegurar que nenhum exploit seja executado no momento da atualização.
Fortalecimento da segurança no ciclo de desenvolvimento
Proteger um ecossistema robusto como o da SAP exige ir além de correções reativas de código. Startups e empresas consolidadas devem planejar infraestruturas seguras desde as primeiras etapas de desenvolvimento; saiba mais em nosso guia de cibersegurança para startups e arquitetura de software segura.
Uma boa prática ao criar interfaces e portais web integrados às APIs da SAP é a otimização dos recursos estáticos antes de enviá-los ao servidor. Recomendamos o uso de nossa ferramenta de minificador CSS/JS. Essa utilidade compacta folhas de estilo, remove comentários de depuração e nomes de variáveis desnecessários. Além disso, ela funciona de modo totalmente local no seu navegador, evitando o vazamento de seus códigos estruturais para servidores em nuvem.
Adicionalmente, verifique o status da criptografia das bases de dados para proteger os registros em repouso. Veja mais detalhes em criptografia de dados em repouso e em trânsito no banco de dados.
Conclusão
O lançamento das correções críticas da SAP de julho de 2026 deixa claro que componentes que controlam sessões de autenticação e rotas (como Approuter e NetWeaver AS Java) necessitam de constante verificação. Ignorar essas atualizações abre brechas para o roubo de sessões administrativas e execuções não autorizadas de código.
Implementar rotinas de atualização de pacotes NPM nas ferramentas web, além de adotar ferramentas de limpeza de código front-end e os patches de servidores da SAP, são práticas fundamentais para manter as defesas organizacionais blindadas.
Referências e fontes autorizativas:
- SAP Support Portal - Security Notes — Portal oficial com atualizações de patches SAP.
- Wikipedia - SAP NetWeaver — Detalhes gerais do servidor NetWeaver.
- OWASP Secure Coding Practices Guide — Diretrizes globais de desenvolvimento seguro.
- Artigo relacionado do TecnoCrypter: Auditoria de código SAST e DAST no ciclo de vida seguro


