• 發布單位:TWCERT/CC
• 更新日期:2026-02-12
• 點閱次數:43

• 內容說明

【CVE-2026-23687，CVSS：8.8】

此漏洞存在於SAP NetWeaver AS ABAP and ABAP Platform，允許經過身分驗證且具有普通權限的攻擊者，取得有效的簽章資訊後，將更新後的簽章 XML 文件傳送給驗證端進行驗證。

【CVE-2026-0509，CVSS：9.6】

此漏洞存在於SAP NetWeaver AS ABAP and ABAP Platform，允許經過身分驗證的低權限攻擊者，於未取得 S_RFC 授權時，可執行後端遠端函式呼叫。

【CVE-2026-0488，CVSS：9.9】

經過身分驗證的攻擊者可利用SAP CRM and SAP S/4HANA(腳本編輯器)中通用函數模組呼叫漏洞，執行未經授權的關鍵功能，包含執行任意SQL語法。

• 影響平台

【CVE-2026-23687】

SAP NetWeaver AS ABAP and ABAP Platform

Version(s) - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917, SAP_BASIS 918

【CVE-2026-0509】

SAP NetWeaver Application Server ABAP and ABAP Platform

Version(s) - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19

【CVE-2026-0488】

SAP CRM and SAP S/4HANA (Scripting Editor)

Version(s) - S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800, 801

• 處置建議

根據官方網站釋出的解決方式進行修補：https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html