エンタープライズソフトウェアメーカーのSAPは火曜日、2026年1月のセキュリティパッチデーの一環として、新たに17件のセキュリティノートを公開したと発表した。うち4件は重大度クリティカルの脆弱性に対処している。
SAPの2026年1月アドバイザリにおける最初のノートは、S/4HANAに存在する重大なSQLインジェクションの不具合であるCVE-2026-0501(CVSSスコア9.9)を解決するものだ。
この問題は、ネイティブSQL文の実行にABAP Database Connectivity(ADBC)フレームワークを利用する、Remote Function Call対応モジュールに影響する、と当該バグを発見して報告したOnapsisは説明している。
「このSQL文は入力パラメータを通じて提供され、攻撃者が任意のSQLコマンドを実行できる。悪用に成功すると、システムは完全に侵害され得る」と、同セキュリティ企業は指摘している。
SAPが火曜日に対処した2つ目の重大な不具合は、Wily Introscope Enterprise Managerにおけるリモートコード実行(RCE)の問題であるCVE-2026-0500(CVSSスコア9.6)だ。
Onapsisによると、このアプリケーションでは、認証されていない攻撃者がURL経由でアクセス可能な悪意あるJNLP(Java Network Launch Protocol)ファイルを作成できる。
被害者がそのようなURLをクリックすると、Wily Introscope Serverが被害者のアプリケーション上でコマンドを実行し、アプリケーションの機密性、完全性、可用性に影響を及ぼす。
3つ目はCVE-2026-0498(CVSSスコア9.1)で、S/4HANAにおけるコードインジェクションの脆弱性と説明されており、OSコマンドインジェクションやシステムの完全な侵害につながる可能性がある。
このバグは、「リモート対応の関数モジュールが、管理者権限を持つ攻撃者に対し、必須の認証チェックを強制することなく既存プログラムのソースコードを任意に改変できてしまう」ことに起因すると、Onapsisは説明している。
SAPの2026年1月セキュリティパッチデーで対処された4つ目の重大度クリティカルの欠陥は、Landscape Transformationにおけるコードインジェクションの不具合であるCVE-2026-0491(CVSSスコア9.1)だ。Onapsisによれば、これは同じ脆弱な関数だが、「影響を受けるコンポーネントは別個のDMISアドオンとして提供されている」という。
火曜日、SAPはHANAデータベース、Application Server for ABAPおよびNetWeaver RFCSDK、Fiori App、ならびにNetWeaver Application Server ABAPとABAP Platformにおける高深刻度の脆弱性に対処する4件のセキュリティノートも公開した。
これらの不具合が悪用されると、攻撃者が権限を管理者に昇格させたり、特別に細工したコンテンツをアップロードして任意のコマンドを実行したり、認可の欠如により権限昇格したり、リモート対応の関数モジュールを悪用してフォームルーチンを実行したりできる可能性がある。
SAPの2026年1月アドバイザリに含まれる残り9件のセキュリティノートは、ERP Central ComponentおよびS/4HANA、NetWeaver、Business Connector、Supplier Relationship Management、Fiori App、Business Server Pages Application、Identity Management、ならびにNW AS Java UME User Mappingにおける中・低深刻度の欠陥を解決する。
脆弱なSAPアプリケーションは脅威アクターにとって魅力的な標的であるため、組織は最新のSAPセキュリティノートを確認し、できるだけ早くパッチを適用するよう推奨される。
翻訳元: https://www.securityweek.com/saps-january-2026-security-updates-patch-critical-vulnerabilities/
