はじめに：SAP 2026年1月セキュリティパッチデー

2026年1月13日、SAPは広範囲に展開されているエンタープライズシステムに影響を及ぼす脆弱性に対処するため、17件の新たなセキュリティノートを公開しました。このパッチデーには、特に注意が必要な4件の重大な脆弱性が含まれており、SQLインジェクション、リモートコード実行（RCE）、およびコードインジェクション攻撃が対象となっています。これらの脆弱性が悪用された場合、認証された、または認証されていない攻撃者によってSAP環境が危険にさらされる可能性があります。

特に注意すべき重大な脆弱性

最も深刻な脆弱性は、SAPの中核インフラストラクチャを標的としています。

• CVE-2026-0501（CVSS 9.9）: SAP S/4HANAのGeneral LedgerモジュールにおけるSQLインジェクションの脆弱性です。認証された攻撃者が任意のSQLクエリを実行し、財務データの整合性を危険にさらす可能性があります。この脆弱性は、プライベートクラウドおよびオンプレミス展開の両方で、S4COREバージョン102から109に影響します。
• CVE-2026-0500（CVSS 9.6）: SAP Wily Introscope Enterprise Managerにおけるリモートコード実行の脆弱性です。ユーザーの操作のみでトリガーされ、バージョン10.8に影響します。この脆弱性により、攻撃者は認証なしにシステムレベルのアクセス権を取得できる可能性があり、エンタープライズ監視インフラストラクチャに重大なリスクをもたらします。
• CVE-2026-0498（CVSS 9.1）: SAP S/4HANA（プライベートクラウド/オンプレミス）におけるコードインジェクションの脆弱性です。
• CVE-2026-0491（CVSS 9.1）: SAP Landscape Transformationにおけるコードインジェクションの脆弱性です。これらのコードインジェクションの脆弱性は、高い権限を持つ認証を必要とします。

高Severityの脅威とその他の脆弱性

上記の重大な脆弱性に加えて、以下のような高Severityの脅威も修正されています。

• CVE-2026-0492（CVSS 8.8）: SAP HANAデータベースにおける特権昇格の脆弱性。
• CVE-2026-0507（CVSS 8.4）: SAP Application Server ABAP/NetWeaver RFCSDKにおけるOSコマンドインジェクション。
• CVE-2026-0511（CVSS 8.1）: SAP Fiori App（Intercompany Balance Reconciliation）における複数の脆弱性。
• CVE-2026-0506（CVSS 8.1）: SAP NetWeaver Application Server ABAPにおける認証チェックの欠如。認証されたアクセスを通じて特権昇格を許す可能性があります。

また、アプリケーションレベルの脆弱性としては、Fioriアプリケーション、NetWeaverコンポーネント、およびエンタープライズポータルインフラストラクチャに影響する複数の認証バイパスおよびクロスサイト攻撃が含まれます。中程度および低程度の深刻度の脆弱性として、クロスサイトスクリプティング（XSS）、オープンリダイレクト、クロスサイトリクエストフォージェリ（CSRF）、情報漏洩、不十分な入力処理、古い暗号化アルゴリズムなども確認されています。

SAPからの勧告

SAPは、顧客に対し、これらの脆弱性、特にS/4HANAおよびWily Introscopeに影響する重大な脆弱性について、直ちにパッチを適用することを強く推奨しています。組織は、インストールされているバージョンとシステム構成に特化したパッチの利用可能性と展開ガイダンスについて、SAPのサポートポータルを参照する必要があります。

元記事: https://gbhackers.com/sap-january-2026-security-patch-day/