SAPはお客様に対して、SAP Support Portalを通じてすべてのノートを確認し、遅延なく修正を適用することを強く要請しています。
最も深刻な問題は、SAP Quotation Management Insurance(FS-QUO)における、クリティカルとして評価され、CVSSスコア9.8のコードインジェクション脆弱性(CVE-2019-17571)です。
既知のApache Log4j 1.2デシリアライゼーション脆弱性を利用し、認証されていないリモート攻撃者が任意のコードを実行でき、影響を受けるシステムの機密性、整合性、可用性を完全に損なわせます。
2番目のクリティカルな注記は、SAP NetWeaver Enterprise Portal Administration(CVE-2026-27685)における安全でないデシリアライゼーションをカバーしており、CVSSスコアは9.1です。
この場合、高い権限を持つ攻撃者は、アップロードされたコンテンツの安全でないデシリアライゼーションを悪用して、ポータル環境全体に及ぶクロススコープの影響を伴う任意のコード実行を達成できます。
RCE以外にも、SAPはSAP Supply Chain Management(CVE-2026-27689、CVSS 7.7)におけるサービス拒否脆弱性も修正しており、認証されたユーザーがシステムの可用性を侵害することを許可できます。
追加の中程度の重要度の問題には、SAP NetWeaver AS ABAPにおけるサーバー側リクエストフォージェリ(SSRF)、NetWeaver AS ABAP、SAP BW、S/4HANA HCMポルトガル、ERP HCMポルトガル、およびSAP Solution Tools Plug-In(ST-PI)全体における複数の認可チェックの不足が含まれます。
さらなるノートでは、SAP NetWeaver Feedback NotificationのSQL注入(CVE-2026-27684)、SAP Business One Job ServiceのDOM型XSS(CVE-2026-0489)、SAP Customer Checkout 2.0の安全でないストレージ保護、GuiXT付きSAP GUI for WindowsのDLLハイジャック、およびSAP NetWeaver AS Java(Adobe Document Services)の古いOpenSSLによるサービス拒否のリスクに対処しています。
SAPのお客様は、FS-QUOコードインジェクションおよびNetWeaver Enterprise Portalの安全でないデシリアライゼーション脆弱性のパッチを優先すべきです。どちらもリモートコード実行とシステムの完全な侵害を達成するために使用される可能性があります。
すべての修正と実装ガイダンスは、SAP Support PortalのSAP Security Notes & Newsセクションを通じて利用可能です。
翻訳元: https://cyberpress.org/sap-vulnerabilities/