SAPは月次セキュリティパッチデーの更新をリリースし、19の新しいセキュリティノートと以前にリリースされたノートの1つの更新に対応しています。
公式のSAPサポートポータルによると、これらのパッチは重大なSQLインジェクション、サービス妨害(DoS)、およびコードインジェクション脆弱性を含む深刻な脆弱性を解決しています。
SAPはすべての管理者に対して、これらの更新をレビューし、エンタープライズインフラストラクチャを保護するために必要なパッチを直ちに適用することを強く勧告します。
重大およびハイリスク脆弱性
2026年4月のリリースハイライトでは、潜在的な脅威アクターの悪用を防ぐために即座の修復が必要な重大な脆弱性があります。セキュリティチームは、コアシステムに影響する以下の優先度の高い問題に焦点を当てる必要があります。
- 重大なSQLインジェクション(CVE-2026-27681): 今月パッチが適用された最も深刻な脆弱性は、SAP Business Planning and ConsolidationおよびSAP Business Warehouseに影響します。最大に近いCVSSスコア9.9を持つこの重大なSQLインジェクション脆弱性は、脅威アクターが任意のデータベースクエリを実行することを許可する可能性があります。これにより、影響を受けたアプリケーションの機密性、完全性、および可用性が完全に侵害される可能性があります。
- 認可チェック欠落(CVE-2026-34256): CVSSスコア7.1を持つハイリスク脆弱性がSAP ERPおよびSAP S/4 HANAで検出されました。この脆弱性は、プライベートクラウドおよびオンプレミスのデプロイの両方に影響し、権限のないユーザーが制限されたアクションを実行できるようにします。
中程度リスク脆弱性
重大なパッチに加えて、SAPはより広いプロダクトエコシステム全体で複数の中程度リスク脆弱性に対応しました。生の開示データをアクショナブルなインテリジェンスに変換すると、いくつかの重要な修正が明かされます。
- BusinessObjectsでのサービス妨害: SAP BusinessObjects Business Intelligence PlatformはDoS脆弱性(CVE-2025-64775)のパッチを受け取り、CVSSスコア6.5です。悪用により、重大なビジネス分析およびレポート操作が中断される可能性があります。
- NetWeaverでのコードインジェクション: SAP NetWeaver Application Server Javaに影響する中程度リスクのコードインジェクション脆弱性(CVE-2026-27674)は正常に解決されました。
- クロスサイトスクリプティング: SAP Supplier Relationship ManagementはXSS脆弱性(CVE-2026-0512)を含み、クライアント側の攻撃を防ぐために軽減されました。
- 情報開示: SAP Human Capital ManagementおよびSAP HANA Cockpitの情報開示問題を修正するために重要なパッチがリリースされました。
- ランドスケープ変換の欠陥: SAP Landscape Transformationの低リスクのコードインジェクション欠陥(CVE-2026-27675)も、権限のないOSコマンド実行を防ぐために対応されました。
SAPは進化するエンタープライズサイバー脅威に対抗するためのタイムリーなパッチの重要性を引き続き強調しています。管理者およびインシデント対応チームは、以下の軽減手順を優先する必要があります。
- SAPサポートポータルの詳細なセキュリティノートをレビューして、特定のバージョンへの影響を理解します。
- 重大なCVSS 9.9 SQLインジェクション脆弱性に対処するためにノート3719353の即座のデプロイを優先します。
- SAP S4COREの認可チェック欠落に関する2025年11月の更新パッチの影響を評価します。
- すべてのSAP ERPおよびS/4 HANA環境が更新され、権限のないアクセスおよびデータ操作を防ぐことを保証します。
脆弱性の詳細
| CVE ID | 説明 | 優先度 | CVSSスコア |
|---|---|---|---|
| CVE-2026-27681 | SAP Business Planning and ConsolidationおよびSAP Business Warehouseにおけるですのインジェクション脆弱性 | 重大 | 9.9 |
| CVE-2026-34256 | SAP ERPおよびSAP S/4 HANA(プライベートクラウドおよびオンプレミス)における認可チェック欠落 | 高 | 7.1 |
| CVE-2025-64775 | SAP BusinessObjects Business Intelligence Platformにおけるサービス妨害脆弱性 | 中 | 6.5 |
| CVE-2026-34264 | SAP S/4HANAのためのSAP Human Capital Managementにおける情報開示脆弱性 | 中 | 6.5 |
| CVE-2026-34261 | SAP Business AnalyticsおよびSAP Content Managementにおける認可チェック欠落 | 中 | 6.5 |
| CVE-2026-27677 | SAP S/4HANA ODataサービス(参考機器の管理)における認可チェック欠落 | 中 | 6.5 |
| CVE-2026-27678 | SAP S/4HANA バックエンドODataサービス(参考構造の管理)における認可チェック欠落 | 中 | 6.5 |
| CVE-2026-27679 | SAP S/4HANA フロントエンドODataサービス(参考構造の管理)における認可チェック欠落 | 中 | 6.5 |
| CVE-2026-0512 | SAP Supplier Relationship Management(SRM カタログのSICF ハンドラー)におけるクロスサイトスクリプティング(XSS)脆弱性 | 中 | 6.1 |
| CVE-2026-27674 | SAP NetWeaver Application Server Java(Web Dynpro Java)におけるコードインジェクション脆弱性 | 中 | 6.1 |
| CVE-2026-34257 | SAP NetWeaver Application Server ABAPにおけるオープンリダイレクト脆弱性 | 中 | 6.1 |
| CVE-2026-34262 | SAP HANA Cockpit およびHANA Database Explorerにおける情報開示脆弱性 | 中 | 5.0 |
| CVE-2026-27673 | SAP S/4HANA(プライベートクラウドおよびオンプレミス)における認可チェック欠落 | 中 | 4.9 |
| CVE-2026-27672 | マテリアルマスターアプリケーションにおける認可チェック欠落 | 中 | 4.3 |
| CVE-2026-27676 | SAP S/4HANA ODataサービス(技術オブジェクト構造の管理)における認可チェック欠落 | 中 | 4.3 |
| CVE-2025-42899 | 更新: SAP S4CORE(仕訳帳エントリの管理)における認可チェック欠落 | 中 | 4.3 |
| CVE-2026-24318 | SAP BusinessObjects Business Intelligence Platformにおける不安全なセッション管理脆弱性 | 中 | 4.2 |
| CVE-2026-27683 | SAP BusinessObjects Business Intelligence Platformにおけるリフレクティングクロスサイトスクリプティング脆弱性 | 中 | 4.1 |
| CVE-2026-27680 | SAP NetWeaver Application Server ABAPにおけるCSSインジェクション脆弱性 | 低 | 3.1 |
| CVE-2026-27675 | SAP Landscape Transformationにおけるコードインジェクション脆弱性 | 低 | 2.0 |
翻訳元: https://gbhackers.com/sap-patch-day-fixes-critical-flaws/
ソース: gbhackers.com
