SAP Security Patch Day Fixes Critical Code Injection Flaw in SAP CRM and S/4HANA
2026/02/10 gbhackers — SAP は 2026年2月10日の Patch Day において、複数の SAP 製品に対する修正を発表し、Support Portal 経由で優先的にパッチを適用することで、SAP 環境を保護するよう顧客に呼びかけた。今月の最もリスクの高い脆弱性 CVE-2026-0488 (CVSS:9.9) は、SAP CRM および SAP S/4HANA (Scripting Editor) に影響を及ぼすコード・インジェクションの欠陥である。SAP によると、この脆弱性を悪用する低権限の認証済み攻撃者は、任意のコードの注入/実行を可能にするという。この問題は、SAP Note 3697099 として管理されている。
SAP セキュリティ Patch Day
SAP システムは、財務データ/顧客データ/サプライチェーン・データを保持していることから、ERP や CRM 環境におけるコード・インジェクションは、組織全体に影響を及ぼすインシデントに直結しやすい。
この脆弱性の悪用により、機密性/完全性/可用性に影響が生じ、単なるデータ漏洩に留まらず、データ改竄や業務妨害にもつながる可能性があると、SAP は指摘している。
この攻撃は、ログイン後の低権限で実行可能とされる。つまり、防御側が前提とすべきは、侵害された認証情報のみで攻撃が生じ得ることである。
この脆弱性 CVE-2026-0488 に加えて、SAP NetWeaver Application Server ABAP および ABAP Platform に影響を及ぼす CVE-2026-0509 も挙げられている。
SAP は、CVE-2026-0509 を SAP Note 3674774 に関連付け、CVSS スコア 9.6 と評価している。この脆弱性は、認可チェック欠如の問題であり、低権限の認証済みユーザーに対して、認可制御の回避を許す可能性がある。
さらに SAP は、脆弱性 CVE-2026-23687 を高優先度の項目として挙げている。RedRays によると、この脆弱性は XML Signature Wrapping の欠陥 (SAP Note 3697567) であり、CVSS スコアは 8.8 とされている。
ユーザーにとって必要なことは、SAP CRM/SAP S/4HANA Scripting Editor/NetWeaver AS ABAP コンポーネントが展開されている場所の特定である。その上で、2026年2月分として示された、該当する SAP Note への対応付けが必要になる。
特に、脆弱性 CVE-2026-0488/CVE-2026-0509 は Critical と分類されているため、即時のパッチ適用対象として扱うべきである。
パッチ適用後は、特権アクセス経路を見直す必要がある。具体的には、不審なスクリプト実行や認可失敗の発生を監視し、悪用の兆候の有無の確認が求められる。
SAP の 2026年2月10日の Patch Day で、複数の脆弱性が修正されました。その中で、最も深刻なものは、SAP CRM や S/4HANA のスクリプト編集機能 (Scripting Editor) における、入力されたプログラム・コードに対する不十分な検証の脆弱性 CVE-2026-0488 (CVSS:9.9) です。本来は限られた操作しかできないはずの低権限ユーザーであっても、この脆弱性を悪用することでコード・インジェクションを引き起こし、システム内部で命令を実行できてしまいます。また、脆弱性 CVE-2026-0509 (CVSS:9.6) も、認可チェックの欠如により、権限を越えた操作を許してしまう危険なものです。ご利用のチームは、ご注意ください。よろしければ、SAP での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.