Onda de CVEs atinge SAP, Fortinet, Ivanti e VMware em meio à corrida do S/4HANA

A semana abriu com uma sequência sincronizada de divulgações de vulnerabilidades críticas em fornecedores enterprise. SAP, Fortinet, Ivanti, VMware e n8n liberaram correções para falhas de severidade alta entre segunda e terça, em volume e distribuição que exigem ação coordenada de times de infraestrutura e segurança nos próximos dias. Nenhuma das CVEs foi reportada em exploração ativa até o fechamento desta edição, mas a janela entre divulgação e exploração tem se reduzido a horas em casos análogos recentes.

O alerta mais consequente vem da SAP, e a sincronia com o calendário de migração da empresa é o que torna o caso especial. A correção da CVE-2026-34260, vulnerabilidade de SQL injection no S/4HANA com CVSS 9.6, chega exatamente no momento em que mais da metade dos clientes globais da SAP concluiu ou está concluindo a migração da plataforma legada para a versão atual, conforme tracking do SAPinsider. A pressão regulatória da própria SAP, que mantém deadline original de fim de suporte do ECC em 2027 com extensões pagas até 2033 via RISE with SAP, criou uma janela de migração em massa, e essa janela coincide com a divulgação. A falha permite expor dados sensíveis do banco a partir de entrada controlada pelo atacante, em modo apenas de leitura, mas suficiente para vazar configuração de tabelas críticas em ambientes onde a migração ainda não estabilizou políticas de segregação de acesso. A segunda correção crítica da SAP, CVE-2026-34263, atinge a SAP Commerce Cloud Configuration com pontuação 9.6 e abre caminho para execução arbitrária de código no servidor por meio de configuração de segurança permissiva com ordenação inadequada de regras. Para clientes em mid-migration, a recomendação é tratar como prioridade de change window dentro da semana.

Fortinet e Ivanti em controle de acesso

A Fortinet divulgou duas CVEs com pontuação 9.1. A CVE-2026-44277 atinge o FortiAuthenticator e permite que um atacante não autenticado execute código não autorizado por meio de requisições construídas. As versões corrigidas são 6.5.7, 6.6.9 e 8.0.3. Já a CVE-2026-26083 afeta o FortiSandbox em todas as variantes, incluindo Cloud e PaaS, com a mesma raiz: ausência de verificação de autorização na UI Web que permite execução de código sem autenticação. As versões corrigidas são 4.4.9 e 5.0.2 para FortiSandbox on-prem, 5.0.6 para Cloud e 4.4.9 ou 5.0.2 para PaaS.

A Ivanti liberou patch para a CVE-2026-8043 no Xtraction antes da versão 2026.2, com CVSS 9.6. O bug permite que um atacante autenticado remoto leia arquivos sensíveis e escreva HTML arbitrário em diretório web, abrindo caminho para divulgação de informações e ataques no lado do cliente. A VMware corrigiu a CVE-2026-41702 no Fusion (CVSS 7.8), uma vulnerabilidade TOCTOU em binário SETUID que escala privilégios a root localmente. A correção está na versão 26H1, e o impacto é restrito a hosts onde o Fusion é executado, o que reduz exposição em frotas corporativas padronizadas em hipervisores de servidor.

n8n acumula falhas em prototype pollution

O caso mais denso em volume é o do n8n, plataforma de automação adotada largamente em equipes de engenharia de dados e operações. Foram cinco CVEs de CVSS 9.4 publicadas no mesmo ciclo. As CVE-2026-42231 e CVE-2026-42232 envolvem prototype pollution via XML, com execução remota de código viável para usuários autenticados que possuem permissão de workflow. As versões corrigidas são 1.123.32, 2.17.4 e 2.18.1. A CVE-2026-44791 documenta bypass para a correção da CVE-2026-42232, exigindo upgrade adicional para 1.123.43, 2.20.7 ou 2.22.1, o que indica patch incompleto na primeira rodada.

A CVE-2026-44789 atinge o nó HTTP Request via parâmetro de paginação não validado. A CVE-2026-44790 é potencialmente a mais grave da série: injeção de flag CLI na operação de Push do nó Git permite leitura arbitrária de arquivos no servidor n8n, suficiente para comprometimento completo. Times que rodam n8n em produção devem aplicar a sequência completa de versões 1.123.43, 2.20.7 e 2.22.1 sem intervalo entre rodadas, dado que apenas a correção final fecha o conjunto.

O padrão da semana coloca pressão particular em ambientes híbridos. Atualizações de SAP, FortiAuthenticator e Xtraction tipicamente caem em janelas distintas de change management, e o cruzamento de prioridades vai exigir que CISOs reorganizem o backlog de remediação para tratar as três como categoria única. O risco específico de 2026 é que migrações em curso de S/4HANA frequentemente operam em modo dual-stack durante semanas, com o legado e o novo coexistindo. Ambientes nessa fase são particularmente expostos: a equipe responsável está focada em compatibilidade de processos de negócio, não em patches retroativos no sistema que acaba de entrar em produção.