2026年1月|SAP Security Patch Day

生成AIにSAPのセキュリティリリースまとめてもらってみた。

2026年1月のSAP Security Patch Dayでは、複数のSAP製品を対象とした多数のセキュリティ修正が公開された。特に Priority が Critical と評価された脆弱性が複数含まれており、SQL インジェクションやリモートコード実行、コードインジェクションなど、悪用時の影響が大きい問題が確認されている。CVSS スコアが 9 以上 の深刻な脆弱性も報告されているため、影響を受ける環境では迅速なパッチ適用が強く推奨される。

対象製品

SAP Security Patch Day で報告された CVE の主な対象製品は以下の通り。

  • SAP S/4HANA Private Cloud and On-Premise(Financials – General Ledger)
  • SAP S/4HANA(Private Cloud and On-Premise)
  • SAP Wily Introscope Enterprise Manager(WorkStation)
  • SAP Landscape Transformation
  • SAP HANA database
  • SAP Application Server for ABAP
  • SAP NetWeaver RFCSDK
  • SAP NetWeaver Application Server ABAP / ABAP Platform
  • SAP Fiori App(Intercompany Balance Reconciliation)
  • SAP Business Connector
  • SAP Identity Management
  • SAP NetWeaver Enterprise Portal

注目の脆弱性

公開されたCVEから、いくつかのCVEをピックアップします。

CVE-2026-0501: SAP S/4HANA(Financials – General Ledger)におけるSQLインジェクション

  • CVSSスコア(Priority): 9.9(Critical)
  • CVSS v3.x、スコア算出元: SAP公式情報(NVD ではスコア算出未完了)

SAP S/4HANA の Financials – General Ledger コンポーネントにおいて、入力値の検証が不十分であることに起因する SQL インジェクションの脆弱性が報告された。認証済みユーザーが細工した入力を送信することで、バックエンドのデータベースに対して任意の SQL 文を実行できる可能性がる。これにより、機密情報の漏えい、データの改ざんや削除など、機密性・完全性・可用性に重大な影響を与える恐れがある。SAP は本脆弱性に対する修正をセキュリティノートとして提供しており、該当するバージョンでは速やかな適用が必要とされる。

CVE-2026-0500: SAP Wily Introscope Enterprise Manager におけるリモートコード実行

  • CVSSスコア(Priority): 9.6(Critical)
  • CVSS v3.x、スコア算出元: SAP公式情報

SAP Wily Introscope Enterprise Manager(WorkStation)において、認証済みユーザーがリモートから任意のコードを実行できる可能性がある脆弱性が報告された。攻撃が成功した場合、対象システム上で不正な処理が実行され、システム全体の制御を奪われるリスクがある。監視基盤として利用されるケースも多いため、影響範囲は広く、優先的な対応が必要とさる。

CVE-2026-0498: SAP S/4HANA におけるコードインジェクション

  • CVSSスコア(Priority): 9.1(Critical)
  • CVSS v3.x、スコア算出元: SAP公式情報

SAP S/4HANA 環境において、RFC 経由で呼び出される処理に不十分な検証が存在し、コードインジェクションが可能となる脆弱性が報告された。攻撃者が権限を持つ場合、任意の ABAP コードや OS コマンドが実行される恐れがあり、システムの完全性に深刻な影響を与える可能性がある。NVD にも当該 CVE の概要が登録されている。

参考情報

  • SAP公式セキュリティリリース(January 2026)
    https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html

  • National Vulnerability Database(NVD)
    https://nvd.nist.gov/vuln/search#/nvd/home?resultType=records

links

social