Sårbarheten finns i en komponent till Netweaver Application Server Java systems som heter Invoker Servlet.

Men det är inget nytt, redan 2010 uppmärksammades det och SAP tog fram en patch, skriver The Register.

Men minst 36 organisationer, flera av dem multinationella, runtom i världen har uppenbarligen missat det.

Den amerikanska it-säkerhetsmyndigheten US-Cert hänvisar till säkerhetsföretaget Onapsis som upptäckt attacken.

Läs också: Allvarligt säkerhetshål i samtliga versioner av Windows

Enligt Onapsis rör det sig om fjärrstyrda attacker som har full tillgång till de berörda SAP-plattformarna vilket ger dem kontroll över både affärsinformation och processer och det kan också ge dem tillgång till andra system som de är integrerade med – både SAP-system och andra.

US-Cert rekommenderar användarna att helt enkelt se till att fixa sårbarheten med patchen eller inaktivera Invoker Servlet. 

Dessutom råder man användare och administratörer att vidta ett antal åtgärder som att skanna igenom systemen för att se om säkerhetspatchar saknas eller om systemen är konfigurerade på riskabla sätt, identifiera och analysera säkerhetsinställningarna på SAPs olika gränssnitt mellan system och applikationer för att se om det finns några risker där, leta efter misstänkta användarmönster bland annat.

Läs också: 400 miljoner Android-telefoner har säkerhetshål som inte täppts till

Saker som, konstaterar The Register, inte är något som man tänker sig borde behövas men som uppenbarligen åtminstone 36 företag behöver hjälp med.