ChatGPTとGeminiにSAPのアドバイザリ概要を作ってもらってみた。さてさて。

Gemini

概要

2026年2月10日、SAP社は月例のセキュリティパッチ情報を公開しました。今回のアップデートでは、26件の新規セキュリティノートと1件の更新ノートがリリースされています。特に注目すべきは、SAP S/4HANAおよびCRMに関連するコードインジェクションの脆弱性（CVE-2026-0488、CVSS 9.9）と、SAP NetWeaverにおける権限チェックの不備（CVE-2026-0509、CVSS 9.6）の2件のCritical（緊急）項目です。これらはデータベースの完全な侵害やシステム停止につながる恐れがあるため、対象製品を利用している企業は優先的な対応が推奨されます。

対象製品

SAP Security Patch Day（2026年2月）で報告された主な対象製品は以下の通りです。

SAP CRM および SAP S/4HANA (Scripting Editor)
SAP NetWeaver Application Server ABAP および ABAP Platform
SAP Supply Chain Management (SCM)
SAP Solution Tools Plug-In (ST-PI)
SAP BusinessObjects BI Platform / Enterprise
SAP Commerce Cloud
SAP Document Management System
SAP Business One
SAP Business Workflow
SAP Fiori App (Manage Service Entry Sheets)
SAP S/4HANA Defense & Security
SAP Strategic Enterprise Management

注目の脆弱性

今回のパッチデーで公開された情報の中から、深刻度や影響範囲の観点で以下の脆弱性をピックアップしました。

CVE-2026-0488: SAP S/4HANA等におけるコードインジェクション（CVSS 9.9）
CVE-2026-0509: SAP NetWeaver AS ABAPにおける権限チェックの欠如（CVSS 9.6）
CVE-2026-23687: SAP NetWeaver AS ABAPにおけるXML署名ラッピングの脆弱性（CVSS 8.8）

CVE-2026-0488: SAP CRM および SAP S/4HANA におけるコードインジェクション

「CVSS 3.1: 9.9 (Critical)」

出典: SAP SE (CNA), NVD

SAP CRM および SAP S/4HANA の Scripting Editor に存在するコードインジェクションの脆弱性です。認証された攻撃者が汎用的な関数モジュールの呼び出しを悪用することで、任意のSQLステートメントを実行するなど、権限のない重要な機能を実行できる可能性があります。この脆弱性が悪用されると、データベース全体が侵害され、情報の機密性、完全性、および可用性に極めて高い影響を及ぼす恐れがあります。CVSSスコアが9.9と非常に高く、最優先で修正パッチ（Security Note 3697099）を適用する必要があります。

CVE-2026-0509: SAP NetWeaver AS ABAP における権限チェックの欠如による不正操作

「CVSS 3.1: 9.6 (Critical)」

出典: SAP SE (CNA), NVD

SAP NetWeaver Application Server ABAP および ABAP Platform において、特定の条件下で適切な権限チェック（S_RFCチェック）が行われない脆弱性です。これにより、低い権限しか持たない認証済みユーザーであってもバックグラウンドでのリモート関数呼び出し（RFC）を実行できてしまう可能性があります。悪用された場合、システムの完全性や可用性に重大な影響を与える可能性があり、業務プロセスの不正な実行やシステム停止を招くリスクがあります。対象製品が多岐にわたるため、自社環境のバージョンを確認し、早期に対応することが望まれます。

CVE-2026-23687: SAP NetWeaver AS ABAP における XML 署名ラッピングによるなりすまし

「CVSS 3.1: 8.8 (High)」

出典: SAP SE (CNA), NVD

SAP NetWeaver AS ABAP および ABAP Platform に存在する XML 署名ラッピングの脆弱性です。認証された攻撃者が有効に署名されたメッセージを取得し、改ざんした署名付き XML ドキュメントを検証者に送信することで、検証プロセスを回避できる可能性があります。これにより、改ざんされた ID 情報が受けれられ、機密性の高いユーザーデータへの不正アクセスや、システム利用の妨害が発生するリスクがあります。アイデンティティ管理や認証に関連する重大な脆弱性であり、信頼された通信を維持するためにパッチの適用が不可欠です。

参考情報

ChatGPT

概要

2026年2月10日付のSAP Security Patch Dayでは、26件の新規セキュリティノートと1件の更新ノートが公開されました。中でもCVE-2026-0488（SQL/コードインジェクション）とCVE-2026-0509（認可チェック欠如）はCritical評価であり、CVSSスコアが9.9および9.6と高く、SAP CRM/S/4HANAやNetWeaver系の重大な影響が懸念されています。これらは企業システムの機密性・完全性・可用性に深刻なリスクをもたらすため、早急なパッチ適用が推奨されます。:contentReference[oaicite:0]{index=0}

対象製品

SAP CRM（Scripting Editor）
SAP S/4HANA（Scripting Editor）
SAP NetWeaver Application Server ABAP
ABAP Platform
SAP NetWeaver AS ABAP（XML署名処理）
SAP Supply Chain Management
SAP Solution Tools Plug-In (ST-PI)
SAP BusinessObjects BI Platform
SAP BusinessObjects Business Intelligence Platform
SAP Commerce Cloud
その他ABAP系/BI系各製品群（複数Note対象）:contentReference[oaicite:1]{index=1}

注目の脆弱性

CVE-2026-0488：SAP CRM / SAP S/4HANA（Scripting Editor）におけるコードインジェクション

CVSSスコア (Priority) CVSS v3.1: 9.9（Critical, SAP評価/NVD-CNA値）:contentReference[oaicite:2]{index=2}

SAP CRMおよびSAP S/4HANAのScripting Editorに存在する欠陥で、特定の関数モジュール呼び出しの処理が適切でないため、認証済みの攻撃者が任意のSQL文を実行できる可能性があります。これによりデータベース全体が侵害され、機密性・完全性・可用性に対して重大な影響が及ぶ恐れがあります。認証が必要であるものの、権限者または多くのユーザーが操作可能な経路である点が特に危険です。:contentReference[oaicite:3]{index=3}

CVE-2026-0509：SAP NetWeaver Application Server ABAP / ABAP Platform における認可チェック欠如

CVSSスコア (Priority) CVSS v3.1: 9.6（Critical, SAP評価/NVD-CNA値）:contentReference[oaicite:4]{index=4}

NetWeaver Application Server ABAPおよびABAP Platformにおいて、必要な認可チェックが欠如しているため、低権限ユーザーでもバックグラウンドのRFC（Remote Function Call）を実行可能となり、システムの整合性と可用性に重大な影響を与える可能性があります。この種の認可問題は、内部ユーザー権限の濫用やサービス間連携の悪用経路となるため、企業利用環境では緊急対応が望まれます。

CVE-2026-23687：SAP NetWeaver AS ABAP / ABAP Platform における XML署名ラッピング

CVSSスコア (Priority) CVSS v3.1: 8.8（High, SAP評価）

NetWeaver AS ABAPおよびABAP Platformに存在するXML署名処理の不備により、署名ラッピング攻撃が可能となる可能性があります。この種の攻撃は、認証済み要求の整合性を破壊し、正規の署名を悪用して不正な操作を許してしまう可能性があり、システム間連携やWebサービス環境では特に注意が必要です。

参考情報

SAP Security Patch Day – February 2026（公式セキュリティノート一覧） https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html
CVE-2026-0488 – National Vulnerability Database（NVD詳細） https://nvd.nist.gov/vuln/detail/CVE-2026-0488
CVE-2026-0509 – National Vulnerability Database（NVD詳細） https://nvd.nist.gov/vuln/detail/CVE-2026-0509

shia's note

2026年2月｜SAP Security Patch Day

Gemini

概要

対象製品

注目の脆弱性

CVE-2026-0488: SAP CRM および SAP S/4HANA におけるコードインジェクション

CVE-2026-0509: SAP NetWeaver AS ABAP における権限チェックの欠如による不正操作

CVE-2026-23687: SAP NetWeaver AS ABAP における XML 署名ラッピングによるなりすまし

参考情報

ChatGPT

概要

対象製品

注目の脆弱性

CVE-2026-0488：SAP CRM / SAP S/4HANA（Scripting Editor）におけるコードインジェクション

CVE-2026-0509：SAP NetWeaver Application Server ABAP / ABAP Platform における認可チェック欠如

CVE-2026-23687：SAP NetWeaver AS ABAP / ABAP Platform における XML署名ラッピング

参考情報

Gemini

概要

対象製品

注目の脆弱性

CVE-2026-0488: SAP CRM および SAP S/4HANA におけるコードインジェクション

CVE-2026-0509: SAP NetWeaver AS ABAP における権限チェックの欠如による不正操作

CVE-2026-23687: SAP NetWeaver AS ABAP における XML 署名ラッピングによるなりすまし

参考情報

ChatGPT

概要

対象製品

注目の脆弱性

CVE-2026-0488：SAP CRM / SAP S/4HANA（Scripting Editor）におけるコードインジェクション

CVE-2026-0509：SAP NetWeaver Application Server ABAP / ABAP Platform における認可チェック欠如

CVE-2026-23687：SAP NetWeaver AS ABAP / ABAP Platform における XML署名ラッピング

参考情報

links

social