SAPは2026年1月13日に17件の新しいセキュリティノートを公開し、広く導入されているエンタープライズシステム全体にわたる重大な脆弱性を修正しました。
今回のパッチデーには、SQLインジェクション、リモートコード実行、コードインジェクションを含む重大度クリティカルの欠陥が4件含まれており、認証済み・未認証の両方の攻撃ベクターを通じてSAP環境が侵害される可能性があります。
1月のパッチサイクルでは、SAPの中核インフラを狙う複数の深刻な脆弱性に対処しています。
CVE-2026-0501は最も重大度が高い欠陥で、SAP S/4HANAの総勘定元帳モジュールにおけるSQLインジェクション脆弱性であり、CVSSスコアは9.9です。
この脆弱性により、認証済みの攻撃者が任意のSQLクエリを実行でき、プライベートクラウドおよびオンプレミス環境の両方におけるS4COREバージョン102〜109で、財務データの完全性が直接損なわれる可能性があります。
SAP Wily Introscope Enterprise Managerにおける重大なリモートコード実行脆弱性(CVE-2026-0500、CVSS 9.6)は、悪用を引き起こすために必要なユーザー操作が最小限で済みます。
この欠陥により、攻撃者は認証なしでシステムレベルのアクセスを取得でき、バージョン10.8の導入環境におけるエンタープライズ監視インフラに重大なリスクをもたらします。
コードインジェクション脆弱性は、SAP S/4HANA(CVE-2026-0498、CVSS 9.1)およびSAP Landscape Transformation(CVE-2026-0491、CVSS 9.1)の両方で報告されていますが、いずれも高権限での認証が必要です。
HANAの権限昇格脆弱性(CVE-2026-0492、CVSS 8.8)と、Application ServerコンポーネントにおけるOSコマンドインジェクション(CVE-2026-0507、CVSS 8.4)により、高重大度の脅威状況が完成します。
重大な欠陥に加えて、このパッチサイクルでは、NetWeaver Application Server(CVE-2026-0506、CVSS 8.1)およびEHS Managementシステム(CVE-2026-0503、CVSS 6.4)にまたがる複数の認可バイパス脆弱性にも対処しています。
これらの認可上の弱点は、認証済みアクセス経路を通じた権限昇格を助長する可能性があります。
アプリケーションレベルの脆弱性には、Enterprise Portal(CVE-2026-0499、CVSS 6.1)およびBusiness Connector(CVE-2026-0514、CVSS 6.1)におけるクロスサイトスクリプティングの欠陥、ならびにFioriのIntercompany Balance Reconciliationアプリに影響するクロスサイトリクエストフォージェリ(CVE-2026-0493、CVSS 4.3)が含まれます。
情報漏えい、オープンリダイレクト、非推奨の暗号化実装を含む低重大度の脆弱性が、脆弱性セットを締めくくります。
SAPは、特にS/4HANAおよびWily Introscope環境に影響するものを中心に、重大度クリティカルの脆弱性に対処するパッチを優先することを強く推奨しています。
組織は、導入済みの特定バージョンおよびシステム構成に合わせたパッチの提供状況と展開ガイダンスについて、SAPのサポートポータルを参照してください。
これらの脆弱性は中核となるエンタープライズの財務および監視システムに影響を及ぼし得るため、迅速な修正が不可欠です。
翻訳元: https://cyberpress.org/sap-injection-and-rce-vulnerabilities/