SAPは2026年1月13日に新たに17件のセキュリティノートを公開し、広く導入されているエンタープライズシステムに影響する脆弱性に対処しました。
このパッチデーには、SQLインジェクション、リモートコード実行、コードインジェクション攻撃にまたがる重大(Critical)レベルの欠陥が4件含まれており、認証済みおよび未認証の脅威アクターがSAP環境を侵害できる可能性があります。
最も深刻な脆弱性は、SAPの中核インフラを標的としています。CVE-2026-0501は、SAP S/4HANAの総勘定元帳(General Ledger)モジュールにおけるSQLインジェクションの欠陥(CVSS 9.9)を悪用し、認証済み攻撃者が任意のSQLクエリを実行して財務データの完全性を損なう可能性があります。
この脆弱性は、プライベートクラウドおよびオンプレミスの両方の導入形態におけるS4COREバージョン102〜109に影響します。
SAP Wily Introscope Enterprise Managerのリモートコード実行の欠陥(CVE-2026-0500、CVSS 9.6)は、トリガーに必要なのはユーザーの操作のみで、バージョン10.8に影響します。
この脆弱性 により、攻撃者が認証なしでシステムレベルのアクセスを得られる可能性があり、エンタープライズ監視インフラに重大なリスクをもたらします。
| CVE ID | 脆弱性の種類 | 影響を受ける製品 | CVSSスコア | 深刻度 |
|---|---|---|---|---|
| CVE-2026-0501 | SQLインジェクション | SAP S/4HANA(総勘定元帳) | 9.9 | 重大 |
| CVE-2026-0500 | リモートコード実行 | SAP Wily Introscope Enterprise Manager | 9.6 | 重大 |
| CVE-2026-0498 | コードインジェクション | SAP S/4HANA(プライベートクラウド/オンプレミス) | 9.1 | 重大 |
| CVE-2026-0491 | コードインジェクション | SAP Landscape Transformation | 9.1 | 重大 |
| CVE-2026-0492 | 権限昇格 | SAP HANA Database | 8.8 | 高 |
| CVE-2026-0507 | OSコマンドインジェクション | SAP Application Server ABAP/NetWeaver RFCSDK | 8.4 | 高 |
| CVE-2026-0511 | 複数の脆弱性 | SAP Fioriアプリ(Intercompany Balance Reconciliation) | 8.1 | 高 |
| CVE-2026-0506 | 認可チェックの欠如 | SAP NetWeaver Application Server ABAP | 8.1 | 高 |
| CVE-2026-0503 | 認可チェックの欠如 | SAP ERP/S/4HANA(EHS Management) | 6.4 | 中 |
| CVE-2026-0499 | クロスサイトスクリプティング(XSS) | SAP NetWeaver Enterprise Portal | 6.1 | 中 |
| CVE-2026-0514 | クロスサイトスクリプティング(XSS) | SAP Business Connector | 6.1 | 中 |
| CVE-2026-0513 | オープンリダイレクト | SAP Supplier Relationship Management | 4.7 | 中 |
| CVE-2026-0494 | 情報漏えい | SAP Fioriアプリ(Intercompany Balance Reconciliation) | 4.3 | 中 |
| CVE-2026-0493 | クロスサイトリクエストフォージェリ(CSRF) | SAP Fioriアプリ(Intercompany Balance Reconciliation) | 4.3 | 中 |
| CVE-2026-0497 | 認可チェックの欠如 | Business Server Pages Application | 4.3 | 中 |
| CVE-2026-0504 | 入力処理の不備 | SAP Identity Management | 3.8 | 低 |
| CVE-2026-0510 | 旧式の暗号化アルゴリズム | NW AS Java UME User Mapping | 3.0 | 低 |
コードインジェクションの脆弱性は、SAP S/4HANA(CVE-2026-0498、CVSS 9.1)およびSAP Landscape Transformation(CVE-2026-0491、CVSS 9.1)の両方で確認されていますが、いずれも高権限での認証が必要です。
HANAの権限昇格の欠陥(CVE-2026-0492、CVSS 8.8)と、Application ServerコンポーネントにおけるOSコマンドインジェクション(CVE-2026-0507、CVSS 8.4)が、高深刻度の脅威を構成しています。
アプリケーションレベルの脆弱性には、Fioriアプリケーション、NetWeaverコンポーネント、エンタープライズポータル基盤に影響する複数の認可回避およびクロスサイト攻撃が含まれます。
NetWeaver Application Server(CVE-2026-0506、CVSS 8.1)およびEHS Managementシステム(CVE-2026-0503、CVSS 6.4)における認可チェックの欠如により、認証済みアクセスを通じた権限昇格が可能になるおそれがあります。
クロスサイトスクリプティングの欠陥は、Enterprise Portal(CVE-2026-0499、CVSS 6.1)およびBusiness Connector(CVE-2026-0514、CVSS 6.1)で確認されています。
一方で、クロスサイトリクエストフォージェリはFioriのIntercompany Balance Reconciliationアプリ(CVE-2026-0493、CVSS 4.3)に影響します。
SAP は、特にS/4HANAおよびWily Introscopeに影響する重大(Critical)レベルの欠陥について、これらの脆弱性のパッチ適用を直ちに優先するよう顧客に強く推奨しています。
組織は、導入しているバージョンおよびシステム構成に固有のパッチ提供状況と展開ガイダンスについて、SAPのサポートポータルを参照してください。
翻訳元: https://gbhackers.com/sap-january-2026-security-patch-day/
