SAP修補CRM、S/4HANA、NetWeaver重大漏洞

SAP於2月10日發布本月例行更新（Security Patch Day），總共修補26個資安漏洞，根據危險程度區分，重大漏洞有2個，高風險漏洞有7個，中度風險漏洞有15個，低風險漏洞有2個。而上個月揭露的一個中度風險漏洞，SAP也在今天的資安公告更新相關說明。

本次修補的重大漏洞是CVE-2026-0488與CVE-2026-0509，分別影響SAP CRM與S/4HANA，以及NetWeaver Application Server ABAP與ABAP平臺。

根據CVSS風險評分，最危險的是達到9.9分的CVE-2026-0488，此為程式碼注入漏洞，通過身分驗證的攻擊者，可在SAP CRM或S/4HANA的指令碼編輯器觸發該項弱點，透過特定通用功能模組呼叫並執行未經授權的重要功能，從而執行任意的SQL描述指令（SQL Statement）。長期觀察與參與SAP應用系統漏洞修補的資安公司Onapsis進一步說明，若成功利用漏洞，將導致資料庫完全被滲透，對此，SAP在受影響的通用功能模組呼叫機制裡，加入允許名單檢查流程，作為因應措施。若IT人員無法及時套用更新，應暫時停用受影響的ICF服務。

另一個重大漏洞CVE-2026-0509，起因為缺乏授權檢查，取得低權限的攻擊者在特定情況下，無需S_RFC授權即可執行背景遠端功能呼叫，CVSS風險值為9.6。Onapsis提及，若要修補此漏洞，IT人員必須實作核心升級，並設置一組個人設定（Profile）參數，為了避免造成業務流程中斷，可能需要調整使用者角色與通用通訊框架（Unified Connectivity Framework，UCON）的組態。