SAP 修補商業規畫與合併財務報表系統、企業資料倉儲系統重大漏洞

事件概述

4 月 14 日，SAP 發布本月例行更新（Security Patch Day），總共揭露 19 個資安漏洞。其中包含 1 個重大等級漏洞與 1 個高風險等級漏洞，其餘為中低風險等級。

漏洞細節與影響

此次重大漏洞形成原因在於上述系統的授權檢查不夠充分。通過身分驗證的攻擊者能執行指定的 SQL 描述指令（SQL Statement），從而讀取、竄改、刪除資料庫內容。

具體而言，SAP 在 4 月例行更新（Security Patch Day）當中，修補重大層級的 SQL 注入漏洞 CVE-2026-27681。長期觀察 SAP 漏洞修補的資安公司 Onapsis 指出，此漏洞極為嚴重。

受影響的產品包括：SAP Business Planning and Consolidation（商業規畫與合併財務報表系統）與 SAP Business Warehouse（企業資料倉儲系統）。