サイバーニュース.jp

世界のサイバーなニュースを配信

SAP Security Patch Day Fixes Critical Code Injection Flaw in SAP CRM and S/4HANA

カテゴリ:

“`json
{
“title”: “SAPセキュリティパッチデー、SAP CRMおよびS/4HANAの重大なコードインジェクション脆弱性を修正”,
“content”: “

はじめに

SAPは2026年2月10日のパッチデーにおいて、複数のSAP製品にわたる修正を提供し、顧客に対しSAP環境を保護するためにサポートポータル経由でのパッチの優先的な適用を強く促しました。

今月強調された最もリスクの高い項目は、SAP CRMおよびSAP S/4HANA(スクリプトエディター)に影響を与えるコードインジェクション脆弱性であるCVE-2026-0488です。これはSAP Note 3697099として追跡されており、SAPはこの脆弱性がCVSS基本スコア9.9を持つと報告しています。この脆弱性は、低権限の認証済み攻撃者によって悪用され、任意のコードを注入・実行される可能性があります。

CVE-2026-0488の詳細と影響

ERPまたはCRM環境におけるコードインジェクションは、SAPシステムが財務、顧客、サプライチェーンのデータを保持しているため、ビジネス全体にわたるインシデントに急速に発展する可能性があります。SAPは、CVE-2026-0488が機密性、完全性、可用性に影響を与える可能性があると指摘しており、この問題は単なるデータ漏洩だけでなく、データの変更や運用の中断にも関わることを意味しています。攻撃が低権限(ログイン後)で可能であると説明されているため、防御側は、侵害された認証情報がこの脆弱性を悪用するのに十分であると想定すべきです。

その他の重要な脆弱性

CVE-2026-0488に加えて、SAPはCVE-2026-0509をSAP NetWeaver Application Server ABAPおよびABAP Platformにとってもう一つの重要な問題として挙げています。SAPはこの脆弱性をSAP Note 3674774に関連付け、CVSSスコア9.6を報告しています。これは、低権限の認証済みユーザーが認証制御をバイパスすることを可能にする認証チェックの欠如として記述されています。また、SAPはCVE-2026-23687を優先度の高い項目としてリストアップしており、RedRaysはこれをCVSS 8.8のXML署名ラッピングの脆弱性(SAP Note 3697567)として報告しています。

推奨される対策

まず、SAP CRM、SAP S/4HANAスクリプトエディター、およびNetWeaver AS ABAPコンポーネントがどこに展開されているかを特定し、それらを2026年2月のSAP Noteにマッピングする必要があります。CVE-2026-0488CVE-2026-0509の2つの重大なエントリは、直ちにパッチを適用すべき候補として扱ってください。これは、SAPがこれらを重要(Critical)に分類し、高影響度の問題として位置付けているためです。パッチ適用後は、特権アクセスパスをレビューし、異常なスクリプト活動や認証失敗がないか監視することで、悪用を試みる兆候がないか確認してください。

発表された主要な脆弱性一覧

  • CVE-2026-0488: 重大。SAP CRM、SAP S/4HANA (スクリプトエディター) に影響。CVSS: 9.9
  • CVE-2026-0509: 重大。SAP NetWeaver AS ABAP、ABAP Platform に影響。CVSS: 9.6
  • CVE-2026-23687: 。SAP NetWeaver AS ABAP、ABAP Platform に影響。CVSS: 8.8
  • CVE-2026-23689: 。SAP Supply Chain Management (DoS) に影響。CVSS: —。
  • CVE-2026-24322: 。SAP Solution Tools Plug-In (ST-PI) に影響。CVSS: —。
  • CVE-2026-0490: 。SAP BusinessObjects BI Platform (DoS) に影響。CVSS: —。
  • CVE-2026-0485: 。SAP BusinessObjects BI Platform (DoS) に影響。CVSS: —。
  • CVE-2025-12383: 。SAP Commerce Cloud (競合状態) に影響。CVSS: —。
  • CVE-2026-0508: 。SAP BusinessObjects BI Platform (オープンリダイレクト) に影響。CVSS: —。

}
“`

元記事: https://gbhackers.com/sap-security-patch-day-fixes-critical-code-injection-flaw/

投稿をさらに読み込む