SAP修補FS-QUO與NetWeaver重大漏洞

SAP於3月10日發布本月例行更新（Security Patch Day），總共修補15個資安漏洞，從危險程度來看，重大等級有2個、高風險1個，其餘為中度及低風險弱點。

其中，重大漏洞CVE-2019-17571相當特別，影響的SAP產品是報價管理相關的應用系統Quotation Management Insurance（FS-QUO），這個程式碼注入漏洞發生在該系統採用的Log4j元件，起因是該元件的SocketServer類別對於不受信任的資料，會出現反序列化處理的狀況，而在反序列化小工具（Gadget）從事件記錄資料監聽不受信任的網路流量過程中，攻擊者可藉機執行任何程式碼，目前這個漏洞的CVSS風險也因此被評為9.8分（滿分10分）。值得留意的是，由於該漏洞影響1.2至1.2.17版Log4j（2012年推出），代表FS-QUO採用該元件的版本相當老舊。

另一個重大漏洞是CVE-2026-27685，出現在NetWeaver的企業入口管理平臺（Enterprise Portal Administration），同樣與反序列化有關，具備特殊權限的攻擊者可上傳惡意或不受信任的內容，以便觸發這個漏洞，該弱點的CVSS風險評為9.1分，嚴重程度也很高。長期關注及參與SAP每月例行更新的資安公司Onapsis指出，若攻擊者不需預先取得高權限即可利用，該漏洞風險評分將可能達到最危險的10分。

本次唯一的高風險漏洞CVE-2026-27689，也相當值得留意，會影響SAP的供應鏈管理系統，屬於阻斷服務（DoS）類型的漏洞，攻擊者可反覆呼叫由超大迴圈控制參數的特定功能模組，從而耗盡系統資源，導致服務中斷，風險值為7.7。