SAP の 2026/04 Patch Day:深刻な SQLi の脆弱性 CVE-2026-27681 などを FIX

SAP Patch Day Fixes Critical SQL Injection, DoS, and Code Injection Flaws

2026/04/14 gbhackers — SAP は 2026年4月の Security Patch Day において、19 件の新たなセキュリティ・ノートを公開し、1 件のノートを更新した。SAP Support Portal によると、これらのパッチにより修正されるのは、SQL Injection/サービス拒否 (DoS)/コード・インジェクションなどの脆弱性である。すべての管理者に対して SAP が強く推奨するのは、これらの更新を確認して速やかにパッチを適用し、エンタープライズ・インフラを保護することである。

高深刻度の脆弱性

2026年4月のリリースで強調されるのは、攻撃者による悪用を防ぐために、即時の対応が必要な脆弱性があることだ。セキュリティ・チームにとって必要なことは、以下の問題を優先することである。

  • SQL Injection:CVE-2026-27681 (CVSS 9.9):最も深刻な脆弱性は SAP Business Planning and Consolidation および SAP Business Warehouse に影響する。この脆弱性を悪用する攻撃者は、任意のデータベース・クエリの実行が可能になる。結果として機密性/完全性/可用性の完全な侵害に至る可能性がある。
  • 認可チェックの欠如:CVE-2026-34256 (CVSS 7.1):SAP ERP および SAP S/4 HANA に存在する脆弱性。の欠陥は Private Cloud/On-Premise 環境に影響し、未認可のユーザーによる制限操作の実行を許可する。
中深刻度の脆弱性

今回のリリースでは、以下の中深刻度の脆弱性も修正されている。

  • サービス拒否:SAP BusinessObjects Business Intelligence Platform に存在する DoS 脆弱性 CVE-2025-64775 (CVSS 6.5) が修正された。この脆弱性への攻撃により、重要なビジネス分析およびレポート処理が停止する可能性がある。
  • コード・インジェクション:SAP NetWeaver Application Server Java に影響を及ぼす、中深刻度のコード・インジェクション脆弱性 CVE-2026-27674 が修正された。
  • クロスサイト・スクリプティング: SAP Supplier Relationship Management に存在する XSS の脆弱性 CVE-2026-0512 が修正され、クライアント側の攻撃が防止された。
  • 情報漏えい: SAP Human Capital Management および SAP HANA Cockpit における情報漏えい問題に対する修正が適用された。
  • コード・インジェクション:SAP Landscape Transformation における低深刻度の脆弱性 CVE-2026-27675 が修正され、不正な OS コマンド実行が防止される。

SAP が継続的に訴えるのは、進化するエンタープライズ・サイバー脅威に対抗するための、速やかなパッチ適用の重要性である。管理者およびインシデント・レスポンス・チームは、以下の対策を優先する必要がある。

  • SAP Support Portal の詳細セキュリティノートを確認し、影響を受けるバージョンを把握する。
  • CVSS 9.9 の SQL Injection に対応する、Note 3719353 に対して最優先で対応する。
  • SAP S4CORE の認可チェック欠如に対する、2025年11月更新パッチの影響を評価する。
  • SAP ERP および SAP S/4 HANA 環境を最新状態に更新し、不正アクセスおよびデータ改竄を防止する。
脆弱性詳細
CVE IDDescriptionPriorityCVSS Score
CVE-2026-27681SQL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse Critical9.9 
CVE-2026-34256Missing Authorization check in SAP ERP and SAP S/4 HANA (Private Cloud and On-Premise) High7.1 
CVE-2025-64775Denial of Service Vulnerability in SAP BusinessObjects Business Intelligence Platform Medium6.5 
CVE-2026-34264Information Disclosure vulnerability in SAP Human Capital Management for SAP S/4HANA Medium6.5 
CVE-2026-34261Missing Authorization check in SAP Business Analytics and SAP Content Management Medium6.5 
CVE-2026-27677Missing Authorization check in SAP S/4HANA OData Service (Manage Reference Equipment) Medium6.5 
CVE-2026-27678Missing Authorization check in SAP S/4HANA Backend OData Service (Manage Reference Structures) Medium6.5 
CVE-2026-27679Missing Authorization check in SAP S/4HANA Frontend OData Service (Manage Reference Structures) Medium6.5 
CVE-2026-0512Cross-Site Scripting (XSS) vulnerability in SAP Supplier Relationship Management (SICF Handler in SRM Catalog) Medium6.1 
CVE-2026-27674Code Injection vulnerability in SAP NetWeaver Application Server Java (Web Dynpro Java) Medium6.1 
CVE-2026-34257Open Redirect vulnerability in SAP NetWeaver Application Server ABAP Medium6.1 
CVE-2026-34262Information Disclosure Vulnerability in SAP HANA Cockpit and HANA Database Explorer Medium5.0 
CVE-2026-27673Missing Authorization Check in SAP S/4HANA (Private Cloud and On-Premise) Medium4.9 
CVE-2026-27672Missing Authorization check in Material Master Application Medium4.3 
CVE-2026-27676Missing Authorization check in SAP S/4HANA OData Service (Manage Technical Object Structures) Medium4.3 
CVE-2025-42899Update: Missing Authorization check in SAP S4CORE (Manage Journal Entries) Medium4.3 
CVE-2026-24318Insecure Session Management vulnerability in SAP BusinessObjects Business Intelligence Platform Medium4.2 
CVE-2026-27683Reflected cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform Medium4.1 
CVE-2026-27680CSS Injection vulnerability in SAP NetWeaver Application Server ABAP Low3.1 
CVE-2026-27675Code Injection vulnerability in SAP Landscape Transformation Low2.0 

訳者後書:2026年4月の Security Patch Day において修正された複数の脆弱性は、データベース操作やユーザー権限の確認といった、基盤となる処理の不備に起因するものです。最も深刻な SQL インジェクションの脆弱性 CVE-2026-27681 (CVSS 9.9) は、SAP Business Warehouse などにおける入力データの不十分な検証に起因し、データベースへ向けた不正な命令の送信を許すものです。ご利用のチームは、ご注意ください。よろしければ、SAP での検索結果も、ご参照ください。