概要
SAP Solution Tools Plug-In (ST-PI) に含まれる特定の機能モジュールにおいて、認証済みユーザーに対する必要な認可チェックが適切に実施されない脆弱性(CVE-2026-24313)が報告されています。この不備により、認証された攻撃者がシステム情報を不正に閲覧できる可能性があります。
影響範囲
SAP Solution Tools Plug-In (ST-PI) を利用しているシステムが影響を受ける可能性があります。具体的な影響バージョンについては、SAP社からの公式情報を参照することが重要です。
想定される影響
認証済みユーザーによって、本来アクセスが許可されていないシステム情報が開示される可能性があります。報告によると、機密性への影響は低いと評価されており、システムの完全性や可用性には影響がないとされています。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、攻撃者が対象システムに対して認証されている必要があります。現時点では、この脆弱性の具体的な悪用状況に関する情報は報告されていません。
推奨対策
今すぐできる対策(優先度:高)
- SAP社からのパッチ適用: SAP社から提供されるセキュリティノートやパッチ情報を確認し、速やかに適用することを強く推奨します。
- システム情報の確認: 影響を受ける可能性のあるSAP ST-PIのバージョンを確認し、最新の状態に保たれているか確認してください。
中長期的な対策(優先度:中)
- 最小権限の原則の徹底: SAPシステムにおけるユーザーの権限設定を見直し、業務上必要最小限の権限のみを付与する「最小権限の原則」を徹底してください。特に、ST-PI関連の機能モジュールへのアクセス権限を厳格に管理することが重要です。
- アクセスログの監視強化: 不審なアクセスや情報取得の試行を早期に検知できるよう、SAPシステムのアクセスログおよび監査ログの監視を強化してください。
一時的な緩和策
特定の機能モジュールへのアクセスを制限する一時的な措置が考えられますが、システム運用への影響を十分に評価した上で実施してください。具体的な緩和策については、SAP社の公式ガイダンスを参照することが最も安全です。
確認方法
- SAP社のサポートポータルやセキュリティノート(SAP Note)で、CVE-2026-24313に関する詳細情報や影響を受ける製品バージョン、パッチの有無を確認してください。
- 自社のSAPシステムにインストールされているST-PIのバージョンを確認し、脆弱性の影響を受けるバージョンに該当するかどうかを照合してください。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-24313