SAPは火曜日、重大度がクリティカルの脆弱性に対処する2件を含む、新規および更新されたセキュリティノート27件のリリースを発表した。
SAPの2026年2月のセキュリティパッチデーに公開された最初のクリティカルなセキュリティノートは、CRMおよびS/4HANAにおけるコードインジェクションの不具合であるCVE-2026-0488(CVSSスコア9.9)に対処している。
アプリケーションのScripting Editorコンポーネントに影響するこの欠陥は、認証済みの攻撃者によって悪用され、任意のSQL文を実行される可能性がある。
「悪用に成功すると、データベースが完全に侵害され、アプリケーションの機密性、完全性、可用性に大きな影響が及ぶ可能性がある」と、エンタープライズ向けアプリケーションセキュリティ企業Onapsisは説明している。
SAPが本日公開した2つ目のクリティカルなセキュリティノートは、NetWeaver Application Server ABAPおよびABAP Platformにおける認可チェックの欠如であるCVE-2026-0509(CVSSスコア9.6)を解決する。
「特定の状況下では、認証済みの低権限ユーザーが、必要なS_RFC認可なしにバックグラウンドのリモート関数呼び出しを実行できる」とOnapsisは説明している。
今月、SAPはNetWeaver、サプライチェーンマネジメント、Solution Tools Plug-In(ST-PI)、BusinessObjects、Commerce Cloudにおける高重大度のセキュリティ欠陥を解決する新規セキュリティノート7件をリリースした。
これらには、NetWeaverにおけるXML署名ラッピングの問題が含まれており、攻撃者が署名付きXML文書を送信し、それが受け入れられると、機密性の高いユーザー情報が露出し、場合によってはシステム利用の妨害につながる可能性がある。
今月解決された残りの高重大度の脆弱性には、認可チェックの欠如、競合状態、オープンリダイレクト、そして3件のサービス拒否(DoS)問題が含まれる。
その他のセキュリティノートは、NetWeaver、BusinessObjects、Document Management System、Business Server Pages Application、Commerce Cloud、Business One、Business Workflow、ABAPベースのSAPシステム、Fiori App、Support Tools Plug-In、S/4HANA、Strategic Enterprise Managementにおける中~低重大度の欠陥を解決する。
SAPは、これらの脆弱性が実環境で悪用されていることには言及していないが、ユーザーには可能な限り早急に導入環境を更新するよう推奨されている。
翻訳元: https://www.securityweek.com/sap-patches-critical-crm-s-4hana-netweaver-vulnerabilities/
