概要

SAPは、2026年3月10日に月例のセキュリティパッチデイ更新をリリースし、エンタープライズソフトウェア製品全体で存在する複数の脆弱性を修正しました。この月の更新には、15の新しいセキュリティノートが含まれており、以前に発行されたパッチの更新はありません。

緊急対応が必要な脆弱性

最も深刻な問題の一つは、SAP Quotation Management Insuranceアプリケーション（FS-QUO）で発見されたコードインジェクションの脆弱性（CVE-2019-17571）です。この脆弱性は、CVSSスコアが9.8と非常に高い評価を受け、未認証の攻撃者がネットワーク経由で悪意のあるコードを注入し、リモートコード実行（RCE）を可能にします。

また、SAP NetWeaver Enterprise Portal Administrationコンポーネントで発見された脆弱性（CVE-2026-27685）も重要です。この脆弱性はCVSSスコアが9.1で、高権限が必要ですが、成功した場合、システムの機密性、整合性、可用性に深刻な影響を与える可能性があります。

高・中度の脆弱性

高危険度の脆弱性としては、SAP Supply Chain Managementで発見されたDoS（サービス拒否）脆弱性（CVE-2026-27689）があります。この脆弱性はCVSSスコアが7.7で、攻撃者が重要なビジネスオペレーションを妨害する可能性があります。

また、SAPは12の中度危険度の脆弱性と1つの低危険度の脆弱性を修正しました。中度危険度の脆弱性には以下が含まれます：

• SAP NetWeaver AS for ABAPのサーバサイドリクエストフォージェリー（SSRF）（CVE-2026-24316）
• SAP NetWeaverのフィードバック通知コンポーネントのSQLインジェクション脆弱性（CVE-2026-27684）
• SAP Business OneのDOMベースのクロスサイトスクリプティング（XSS）バグ（CVE-2026-0489）
• SAP Business Warehouse、S/4HANA HCM、およびNetWeaver AS for ABAPの複数の権限チェック不足

組織へのアドバイス

SAPは、組織がSAPのセキュリティを保護するために、以下の手順を実施することを強く推奨しています：

• CVSSスコアが9.0以上の脆弱性に対するパッチをすぐに適用して、リモートコード実行攻撃を防ぐ。
• SAP Support Portalでセキュリティノートと影響を受ける製品バージョンの完全なリストを確認する。
• すべてのSAPデプロイメントで安全な構成慣行を維持し、攻撃面を最小限に抑える。

元記事: https://gbhackers.com/sap-releases-patches-for-security-flaws/