SAPは2026年4月のセキュリティパッチデーを発表し、19の新しいセキュリティノートと以前に発行された勧告の1つの更新をリリースしました。
このアップデートは、重大なSQLインジェクション、サービス拒否(DoS)、およびコードインジェクション脆弱性を含む、いくつかの重大な欠陥に対処しています。
今月最も重要なパッチはCVE-2026-27681の場合で、SAP Business Planning and ConsolidationおよびSAP Business Warehouseに影響する重大なSQLインジェクション脆弱性です。
CVSSスコア9.9で評価されているこの欠陥により、攻撃者は任意のデータベースクエリを実行できる可能性があり、機密情報とシステムの整合性が危険にさらされる可能性があります。
もう1つの主要なリスクであるCVE-2026-34256は、SAP ERPおよびSAP S/4HANA環境に影響する認可チェックの欠落に関連しています。
CVSSスコア7.1では、この脆弱性により、無許可のユーザーがプライベートクラウドおよびオンプレミスの両方の展開で制限されたアクションを実行できる可能性があります。
SAPは、管理者にセキュリティノート3719353を直ちに適用してSQLインジェクション脆弱性に対処し、S4CORE認可チェックの更新された2025年11月パッチを確認するよう促しています。
SAPはまた、製品スイート全体にわたるいくつかの中程度の重要度の問題を解決しました。その中で注目すべきものは:
SAPは、悪用に対するシステムディフェンスを強化するために、すべてのアップデートの迅速なインストールを強調しています。
SAPコアモジュール全体で複数の脆弱性が修正されたこのリリースは、エンタープライズ環境内での継続的なパッチ管理の必要性の増加を強調しています。
セキュリティおよびインシデント対応チームは、これらの重大なアップデートを迅速に適用し、進化するサイバー脅威に対する運用上の復元力を維持するために、迅速に行動する必要があります。
翻訳元: https://cyberpress.org/sap-patch-day-fixes-critical-sql-injection-dos-and-code-injection-flaws/
