SAP發布1月例行更新，修補SQL注入、程式碼注入，以及遠端程式碼執行的重大漏洞

SAP於1月13日發布本月例行更新（Security Patch Day），總共修補17個資安漏洞，根據危險程度區分，有重大漏洞4個、高風險漏洞4個、中度風險7個，以及低風險兩個。

本次修補的重大漏洞為CVE-2026-0501、CVE-2026-0500、CVE-2026-0498，以及CVE-2026-0491，影響ERP系統S/4HANA、應用程式效能監控（APM）平臺Wily Introscope Enterprise Manager，以及資料複製與轉換平臺Landscape Transformation。

其中，有兩個漏洞CVE-2026-0501及CVE-2026-0498，同時影響本地建置與雲端版本的S/4HANA，最嚴重的是CVSS風險評分達到9.9的CVE-2026-0501，此為SQL注入漏洞，起因是輸入驗證不夠充分，通過身分驗證的攻擊者可藉由執行特定的SQL查詢，從而讀取、竄改，甚至刪除後端資料庫的內容。

長期追蹤及參與SAP產品修補的資安公司Onapsis指出，針對此漏洞發現的過程，是他們發現某個啟用RFC的功能模組，為了執行原生SQL敘述句（statement），會運用ABAP Database Connectivity框架（ADBC），此SQL敘述句透過輸入參數提供，使得攻擊者有機會執行任意SQL指令，一旦成功利用，系統可被完全攻破。

另一個S/4HANA重大漏洞CVE-2026-0498為程式碼注入漏洞，取得管理權限的攻擊者可透過RFC於特定功能模組觸發，從而注入任何ABAP程式碼或作業系統命令，風險值為9.1。通報此事的Onapsis指出，攻擊者可繞過原本需強制執行的必要認證流程，隨意竄改現有程式的原始碼。

危險程度第二高的是遠端程式碼執行（RCE）漏洞CVE-2026-0500，發生的原因為Wily Introscope Enterprise Manager採用存在弱點的第三方元件，未經身分驗證的攻擊者只要產生惡意JNLP檔案，且能透過公開的URL存取，即可在受害者點選URL存取Wily Introscope Server的過程裡，於受害電腦執行作業系統命令，風險值為9.6。

本次修補的第四個重大漏洞CVE-2026-0491，可用於程式碼注入，趁機影響Landscape Transformation，風險值為9.1。Onapsis指出，SAP修補與CVE-2026-0498相同的功能模組。