ثغرات SAP الحرجة CVE-2026-34260 وCVE-2026-34263: حقن SQL وتنفيذ كود عن بُعد يهددان أنظمة ERP في القطاع المالي

أصدرت SAP في تحديثها الأمني لشهر مايو 2026 خمس عشرة ملاحظة أمنية جديدة، أبرزها ثغرتان حرجتان بتقييم CVSS 9.6 تطالان نظامي S/4HANA وCommerce Cloud — العمود الفقري لعمليات المؤسسات المالية في المملكة العربية السعودية. الثغرتان تتيحان حقن SQL وتنفيذ كود خبيث على الخوادم، ما يضع قواعد البيانات المالية والمعاملات الحساسة في خطر مباشر.

الثغرة الأولى: حقن SQL في SAP S/4HANA — CVE-2026-34260

تكمن الثغرة CVE-2026-34260 في مكوّن Enterprise Search for ABAP ضمن SAP S/4HANA، حيث يفتقر النظام إلى آليات كافية للتحقق من صحة المدخلات وتطهيرها. يستطيع مهاجم يمتلك صلاحيات مصادقة أساسية حقن عبارات SQL خبيثة تمنحه وصولاً مباشراً إلى قاعدة البيانات الأساسية. النتيجة؟ استخراج سجلات العملاء والمعاملات المالية، تعديل البيانات المحاسبية دون أثر واضح في سجلات التدقيق، أو إحداث تعطّل كامل للتطبيق يوقف العمليات التشغيلية.

التقييم 9.6 من CVSS يعكس حجم الخطر: الاستغلال لا يتطلب تفاعلاً من المستخدم، ومسار الهجوم عبر الشبكة مباشر. في بيئة مالية سعودية تعتمد على S/4HANA لمعالجة آلاف المعاملات يومياً، هذه الثغرة ليست نظرية — بل تهديد تشغيلي فوري.

الثغرة الثانية: تنفيذ كود عن بُعد في SAP Commerce Cloud — CVE-2026-34263

الثغرة CVE-2026-34263 أكثر خطورة من حيث سطح الهجوم لأنها لا تتطلب أي مصادقة. تنبع المشكلة من خطأ في تهيئة Spring Security ضمن SAP Commerce Cloud، يسمح لمهاجم غير موثّق برفع ملفات تهيئة خبيثة وتنفيذ كود عشوائي على مستوى الخادم. بمعنى آخر: أي شخص يصل إلى واجهة Commerce Cloud يستطيع السيطرة الكاملة على الخادم دون تقديم أي بيانات اعتماد.

منصات التجارة الإلكترونية المبنية على SAP Commerce Cloud تتعامل مع بيانات بطاقات الدفع ومعلومات العملاء الشخصية بشكل يومي. استغلال هذه الثغرة يعني تسريباً محتملاً لبيانات PCI-DSS محمية وبيانات شخصية خاضعة لنظام حماية البيانات الشخصية PDPL.

ثغرة إضافية: حقن أوامر نظام التشغيل في Forecasting & Replenishment

إلى جانب الثغرتين الحرجتين، عالج تحديث مايو 2026 ثغرة عالية الخطورة CVE-2026-34259 في مكوّن Forecasting & Replenishment، تتيح لمهاجم مصادق حقن أوامر نظام التشغيل وتنفيذها مباشرة على الخادم المستضيف. هذا النوع من الثغرات يمنح المهاجم موطئ قدم للتحرك أفقياً داخل الشبكة الداخلية والوصول إلى أنظمة أخرى.

سياق خطير: هجوم سلسلة التوريد على حزم SAP في npm

ما يزيد الوضع تعقيداً أن تصحيحات مايو صدرت بعد أقل من أسبوعين من اكتشاف حقن كود خبيث في أربع حزم npm تابعة لـ SAP ضمن هجوم سلسلة التوريد Mini Shai-Hulud الذي نفذته مجموعة TeamPCP. الهجوم أضاف سكربتات preinstall خبيثة أصابت أكثر من 1,800 مطور يعملون على تطبيقات SAP السحابية. هذا يعني أن المؤسسات التي تستخدم بيئات تطوير SAP السحابية قد تكون معرّضة من جهتين: ثغرات في المنتج الأساسي وتلوّث في سلسلة التوريد البرمجية.

التأثير على المؤسسات المالية السعودية

تعتمد غالبية البنوك وشركات التأمين وشركات التمويل في المملكة على أنظمة SAP لإدارة العمليات المالية والمحاسبية وسلاسل التوريد. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق التصحيحات الأمنية الحرجة ضمن جداول زمنية محددة، كما أن ضوابط NCA ECC تشترط إدارة الثغرات وفق عمليات موثّقة ومراقبة مستمرة.

ثغرة حقن SQL في S/4HANA تمس مباشرة متطلبات سلامة البيانات في SAMA CSCC، بينما ثغرة Commerce Cloud بدون مصادقة تنتهك مبدأ أقل الصلاحيات وضوابط إدارة الهوية والوصول. أما تسريب بيانات بطاقات الدفع فيضع المؤسسة في مواجهة عقوبات PCI-DSS، فيما أي تسريب لبيانات شخصية يخضع لأحكام نظام PDPL الذي دخل حيّز التنفيذ الكامل.

التوصيات والخطوات العملية

1. تطبيق تصحيحات SAP فوراً: راجع ملاحظات الأمان الصادرة في SAP Security Patch Day لشهر مايو 2026 وطبّق التصحيحات على أنظمة S/4HANA وCommerce Cloud وForecasting & Replenishment كأولوية قصوى خلال 72 ساعة.
2. تدقيق تهيئة Spring Security: تحقق من إعدادات المصادقة في SAP Commerce Cloud وتأكد من عدم وجود نقاط وصول مكشوفة تسمح برفع ملفات التهيئة دون مصادقة.
3. فحص سلسلة التوريد البرمجية: إذا كان فريق التطوير يستخدم حزم SAP npm، نفّذ فحصاً شاملاً باستخدام أدوات مثل npm audit وSnyk للتأكد من خلو البيئة من آثار هجوم Mini Shai-Hulud.
4. مراجعة سجلات قاعدة البيانات: فعّل تسجيل الاستعلامات المشبوهة على مستوى قاعدة بيانات HANA وراقب أي عبارات SQL غير معتادة قد تشير إلى محاولات استغلال سابقة لـ CVE-2026-34260.
5. تفعيل WAF مخصص لـ SAP: استخدم جدار حماية تطبيقات الويب مع قواعد مخصصة لحماية واجهات SAP من محاولات حقن SQL وحقن الكود، خاصة على الأنظمة المكشوفة للإنترنت.
6. تحديث خطة الاستجابة للحوادث: أضف سيناريو اختراق أنظمة ERP إلى خطة الاستجابة للحوادث وتأكد من جاهزية الفريق للتعامل مع تسريب بيانات مالية أو تعطّل عمليات S/4HANA.

الخلاصة

ثغرات SAP الحرجة بتقييم 9.6 ليست مجرد تنبيهات تقنية — بل تهديد مباشر لاستمرارية الأعمال وسلامة البيانات المالية في المؤسسات السعودية. الجمع بين ثغرات المنتج الأساسي وهجمات سلسلة التوريد على حزم SAP يرسم صورة تهديد متعددة الأبعاد تتطلب استجابة شاملة وسريعة. التأخر في التصحيح ليس خياراً عندما يتعلق الأمر بأنظمة تدير معاملات مالية بمليارات الريالات.

هل أنظمة SAP في مؤسستك محدّثة ومحمية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لثغرات أنظمة ERP.