• 發布單位:TWCERT/CC
• 更新日期:2026-06-12
• 點閱次數:91

• 內容說明：

【CVE-2026-40128，CVSS：9.0】

SAP NetWeaver Application Server Java (Web Container)允許未經身分驗證的攻擊者，透過精心設計HTTP登入請求進而觸發路徑遍歷行為。

【CVE-2026-27671，CVSS：9.8】

由於SAP NetWeaver AS ABAP and ABAP Platform 所使用的RFC協定驗證不足，未經身分驗證的攻擊者可透過精心設計的RFC請求，利用記憶體的邏輯錯誤進而損壞。

【CVE-2026-44748，CVSS：9.9】

SAP NetWeaver AS ABAP and ABAP Platform允許具有普通權限且經身分驗證的攻擊者取得有效簽署訊息後，對簽署文件內容進行竄改後提交給驗證者。

• 影響平台：

【CVE-2026-40128】

SAP NetWeaver Application Server Java (Web Container)

Version(s) - ENGINEAPI 7.50

【CVE-2026-27671】

SAP NetWeaver AS ABAP and ABAP Platform

Version(s) - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 722EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 91.9

【CVE-2026-44748】

SAP NetWeaver AS ABAP and ABAP Platform

Version(s) - SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918, SAP_BASIS 919

• 處置建議：

根據官方網站釋出的解決方式進行修補：

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html