【漏洞預警】SAP針對旗下多款產品發布重大資安公告
2026 年 6 月 12 日
圖書資訊處
教育機構ANA通報平台
| 發佈編號 | TACERT-ANA-2026061201061010 | 發佈時間 | 2026-06-12 13:35:11 |
| 事故類型 | ANA-漏洞預警 | 發現時間 | 2026-06-12 13:35:11 |
| 影響等級 | 低 | ||
| [主旨說明:]【漏洞預警】SAP針對旗下多款產品發布重大資安公告 | |||
| [內容說明:]
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-200-202606-00000009 【CVE-2026-40128,CVSS:9.0】 SAP NetWeaver Application Server Java (Web Container)允許未經身分驗證的攻擊者,透過精心設計HTTP登入請求進而觸發路徑遍歷行為。 【CVE-2026-27671,CVSS:9.8】 由於SAP NetWeaver AS ABAP and ABAP Platform 所使用的RFC協定驗證不足,未經身分驗證的攻擊者可透過精心設計的RFC請求,利用記憶體的邏輯錯誤進而損壞。 【CVE-2026-44748,CVSS:9.9】 SAP NetWeaver AS ABAP and ABAP Platform允許具有普通權限且經身分驗證的攻擊者取得有效簽署訊息後,對簽署文件內容進行竄改後提交給驗證者。 情資分享等級: WHITE(情資內容為可公開揭露之資訊) |
|||
| [影響平台:]
SAP NetWeaver AS ABAP and ABAP Platform Version(s) – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 722EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 91.9 SAP NetWeaver AS ABAP and ABAP Platform Version(s) – SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918, SAP_BASIS 919 SAP NetWeaver Application Server Java (Web Container) Version(s) – ENGINEAPI 7.50 |
|||
| [建議措施:]
根據官方網站釋出的解決方式進行修補: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html |
|||
| [參考資料:] 1. https://www.twcert.org.tw/tw/cp-169-10963-9280d-1.html |
|||