SAPは火曜日、2026年4月のセキュリティパッチデーの一環として、20個の新規および更新されたセキュリティノートのリリースを発表しました。
解決された欠陥の中で最も深刻なものはCVE-2026-27681(CVSS スコア9.9)で、これはBusiness Planning and ConsolidationおよびBusiness Warehouse内の重大なSQLインジェクションバグで、任意のコード実行につながる可能性があります。
「脆弱なABAPプログラムは、低い権限を持つユーザーが任意のSQL文を含むファイルをアップロードして実行できます」とソフトウェアセキュリティ企業Onapsis が説明しています。
Pathlock シニア製品マネージャーのJonathan Stross氏によると、アップロード機能はデータベースの直接的な不正使用に悪用され、攻撃者がユーザーの操作なしにデータを読み取り、改ざんすることが可能になるとのことです。
「潜在的な攻撃シナリオでは、攻撃者は影響を受けたアップロード関連機能を悪用してBW/BPCデータストアに対して悪意のあるSQLを実行します。正常に悪用されると、この脆弱性により攻撃者は機密の財務データを抽出し、レポート、モデル、または連結数字を改ざんし、データベースコンテンツを削除または破損させ、大きな混乱を引き起こすことができます」とStross氏は述べています。
Onapsis によると、SAPは実行可能コードを完全に無効化することで問題を解決しました。
火曜日、SAPはERPおよびS/4 HANAの高度な重大度の認可チェック不足に対処するセキュリティノートもリリースしました。CVE-2026-34256 として追跡されており、ABAPプログラムを実行し、既存の8文字の実行可能プログラムを書き直すために悪用される可能性があります。
残りのセキュリティノートのうち、16個(15個の新規および1個の更新)は、情報の開示、サービス拒否(DoS)、XSS攻撃、コード注入、悪意のあるコンテンツへのリダイレクト、または被害者のブラウザでのコード実行につながる可能性のある中度の重大度の脆弱性に対処しています。
欠陥はBusinessObjects、Business Analytics、Content Management、S/4HANA、Supplier Relationship Management、NetWeaver、HANA Cockpit、HANA Database Explorer、Material Master Application、およびS4COREで修正されました。
残りの2つのノートはNetWeaverおよびLandscape Transformationの低度の重大度のコード注入バグに対処しています。
SAPはこれらの脆弱性のいずれかが実際に悪用されているかについて言及していません。ユーザーはできるだけ早くセキュリティノートを適用することをお勧めします。
翻訳元: https://www.securityweek.com/sap-patches-critical-abap-vulnerability/
