SAP の 2026年3月 Patch Day:未検出だった Log4j CVE-2019-17571 などに対応

SAP Security Update – Patch for Multiple Vulnerabilities that Enable Remote Code Execution

2026/03/10 CyberSecurityNews — SAP は 2026年3月 Patch Day において、15件の新規 Security Note を公開した。そこには、Remote Code Execution および完全なシステム侵害につながる可能性のある、2件の Critical 脆弱性が含まれる。すべての顧客に対して SAP が強く推奨するのは、Support Portal を確認し、迅速にパッチを適用することである。最も深刻な脆弱性は CVE-2019-17571 (CVSS 9.8) であり、SAP Quotation Management Insurance (FS-QUO 800) に影響する。

この Quotation Management Insurance の脆弱性は、製品に組み込まれた旧式の Apache Log4j SocketServer コンポーネントに起因する。リモートの未認証の攻撃者に対して、シリアライズされたログイベントの受け取りとデシリアライズを許す設計であり、任意のコード実行に至る恐れがある。

CVE 番号は 2019年に遡るが、FS-QUO 800 向けのパッチは今回が初めてであり、エンタープライズ製品におけるレガシー・コンポーネントの使用が、長期にわたり放置されてきたという現実が示されている。

2件目の Critical 脆弱性は CVE-2026-27685 (CVSS 9.1) であり、SAP NetWeaver Enterprise Portal Administration (EP-RUNTIME 7.50) に影響する。

この脆弱性は、不安全なデシリアライズに起因する。特権ユーザーによりアップロードされた悪意のコンテンツが、サーバ側でデシリアライズされることで、機密性/完全性/可用性に重大な影響が生じ、完全なシステム制御への経路が開かれる。この脆弱性は、SAP Security Note 3714585 で対応されている。

High/Medium の脆弱性

SAP Supply Chain Management における、深刻度 High の DoS 脆弱性 CVE-2026-27689 (CVSS 7.7) は、SCMAPO/S4CORE/S4COREOP/SCM の複数バージョンに影響を及ぼす。

低権限の認証済み攻撃者であっても、ネットワーク経由での可用性の妨害が可能であり、ユーザー操作は不要である。

重大度 Medium の脆弱性も多数修正された。

  • CVE-2026-24316 (CVSS 6.4):SAP NetWeaver Application Server for ABAP (SAP_BASIS 740–918) における SSRF。内部リソースへの不正リクエストが可能となる。
  • CVE-2026-24309 (CVSS 6.4):SAP NetWeaver AS for ABAP (SAP_BASIS 700–816) における認可チェック欠如。データ改ざんおよび業務妨害の可能性。
  • CVE-2026-27684 (CVSS 6.4):SAP NetWeaver Feedback Notification における SQL Injection。部分的なデータ流出およびサービス妨害。
  • CVE-2026-0489 (CVSS 6.1):SAP Business One (Job Service) B1_ON_HANA 10.0/SAP-M-BO 10.0 における DOM-based XSS。ユーザー操作が必要。

その他の Medium レベルの脆弱性も修正されている。

  • SAP Business Warehouse (CVE-2026-27686)
  • SAP S/4HANA HCM Portugal (CVE-2026-27687)
  • SAP NetWeaver AS for ABAP (CVE-2026-27688)
  • SAP Solution Tools Plug-In (CVE-2026-24313)

深刻度 Low には以下が含まれる。

  • SAP Customer Checkout 2.0 の不安全な保存保護 (CVE-2026-24311)
  • SAP GUI for Windows (GuiXT 有効時) の DLL Hijacking (CVE-2026-24317)
  • SAP NetWeaver AS Java Adobe Document Services における旧式 OpenSSL に起因する DoS (CVE-2025-9230/CVE-2025-9232)
  • SAP NetWeaver AS for ABAP の低重大度認可欠如 (CVE-2026-24310)

SAP 管理者は、Remote Code Execution リスクを伴うSecurity Note 3698553/3714585 を最優先で適用すべきである。

SAP NetWeaver/SAP Supply Chain Management/SAP Business One を運用する組織は、影響バージョンを監査し、Support Portal 経由で速やかに適用する必要がある。

SAP Patch Day は毎月第2火曜日に実施される。これに合わせた構造的なパッチ管理が、エンタープライズ SAP セキュリティの基盤である。

SAP は 2026年3月の Patch Day において、計 15件のセキュリティ脆弱性を修正しました。今回のアップデートで最も警戒すべきは、システムの完全な制御を奪われる恐れのある、2 件の Critical 脆弱性です。それらの問題の原因は、長年放置されてきた旧式のライブラリと、データの復元処理における不安全なデシリアライズにあります。

最優先で対処すべき脆弱性の 1 つ目は、保険業務向けの SAP FS-QUO 800 に影響する CVE-2019-17571 (CVSS 9.8) です。2019年に世間を騒がせた Apache Log4j 1.2 が組み込まれており、認証を必要としないサーバの乗っ取りに至る恐れがあります。2つ目のCVE-2026-27685 (CVSS 9.1) は、SAP NetWeaver Enterprise Portal (7.50) に影響し、管理画面から悪意のコンテンツを読み込ませることで、システム全体の制御を奪われる可能性があります。ご利用のチームは、ご注意ください。よろしければ、SAP での検索結果も、ご参照ください。