SAP發布1月例行更新,修補SQL注入、程式碼注入,以及遠端程式碼執行的重大漏洞
更新重點摘要
SAP於1月13日發布本月例行更新(Security Patch Day),總共修補17個資安漏洞,根據危險程度區分,有重大漏洞4個、高風險漏洞4個、中度風險7個,以及低風險兩個。
重大漏洞細節
- CVE-2026-0491:為程式碼注入型態漏洞,可用於影響Landscape Transformation,風險值為9.1。
- CVE-2025-42887:影響SAP Solution Manager,為程式碼注入型態的弱點,CVSS風險值為9.9,問題出在對於置入的程式碼缺乏過濾與管控。
- CVE-2025-42928:為反序列化漏洞,具備高權限的使用者可能利用此漏洞觸發遠端程式碼執行攻擊,影響系統的機密性、完整性和可用性。
- CVE-2025-42880:為反序列化漏洞,具高權限的使用者可能利用此漏洞觸發遠端程式碼執行(RCE),影響系統的機密性、完整性與可用性。
其他相關資訊
本次更新涵蓋多款SAP產品,其中部分漏洞為反序列化或程式碼注入類型,攻擊者可能藉此達成遠端程式碼執行(RCE),對系統的機密性、完整性和可用性造成嚴重影響。