SAPは、2月10日の2026年パッチデーで複数のSAP製品に対する修正を提供し、SAP環境を保護するため、サポートポータル経由で優先的にパッチを適用するよう顧客に促したと述べました。
今月、最もリスクが高い項目として挙げられているのはCVE-2026-0488で、SAP CRMおよびSAP S/4HANA(スクリプティングエディタ)に影響するコードインジェクションの脆弱性として説明され、SAP Note 3697099として追跡されています。
SAPによると、この欠陥のCVSS基本値は9.9で、低権限の認証済み攻撃者が任意のコードを注入して実行できる形で悪用される可能性があります。
SAPセキュリティパッチデー
ERPまたはCRM環境でのコードインジェクションは、SAPシステムが財務データ、顧客データ、そしてサプライチェーンデータを保持していることが多いため、迅速に全社的なインシデントへ発展し得ます。
SAPは、CVE-2026-0488が機密性・完全性・可用性に影響し得ると指摘しており、この問題は単なるデータ露出にとどまらず、データ改ざんや業務妨害の可能性も意味します。
攻撃は(ログイン後に)低権限でも可能と説明されているため、防御側は、侵害された認証情報だけでこのバグが武器化され得ると想定すべきです。
CVE-2026-0488に加え、SAPはSAP NetWeaver Application Server ABAPおよびABAP Platform向けの別の重大な問題としてCVE-2026-0509も挙げました。
SAPはCVE-2026-0509をSAP Note 3674774に関連付け、CVSS 9.6と報告しており、認可チェックの欠落により、低権限の認証済みユーザーが認可制御を回避できる可能性があると説明しています。
SAPはCVE-2026-23687も高優先度項目として挙げており、RedRaysはこれをXML署名ラッピングの弱点(SAP Note 3697567)で、CVSS 8.8と報告しています。
まず、SAP CRM、SAP S/4HANAスクリプティングエディタ、そしてNetWeaver AS ABAPコンポーネントがどこに展開されているかを特定し、2026年2月に言及された関連SAP Noteに紐付けてください。
2つの重大項目(CVE-2026-0488およびCVE-2026-0509)は、SAPがCriticalに分類し高影響の問題として位置付けているため、直ちにパッチ適用候補として扱ってください。
パッチ適用後は、特権アクセス経路を見直し、悪用の試行を示す可能性のある不審なスクリプト活動や認可失敗を監視してください。
| CVE | SAP優先度(パッチデー一覧) | 影響を受ける製品(概要) | CVSS(報告値) |
|---|---|---|---|
| CVE-2026-0488 | Critical | SAP CRM、SAP S/4HANA(スクリプティングエディタ) | 9.9 |
| CVE-2026-0509 | Critical | SAP NetWeaver AS ABAP、ABAP Platform | 9.6 |
| CVE-2026-23687 | High | SAP NetWeaver AS ABAP、ABAP Platform | 8.8 |
| CVE-2026-23689 | High | SAPサプライチェーン管理(DoS) | — |
| CVE-2026-24322 | High | SAP Solution Tools Plug-In(ST-PI) | — |
| CVE-2026-0490 | High | SAP BusinessObjects BI Platform(DoS) | — |
| CVE-2026-0485 | High | SAP BusinessObjects BI Platform(DoS) | — |
| CVE-2025-12383 | High | SAP Commerce Cloud(競合状態) | — |
| CVE-2026-0508 | High | SAP BusinessObjects BI Platform(オープンリダイレクト) | — |
翻訳元: https://gbhackers.com/sap-security-patch-day-fixes-critical-code-injection-flaw/
