概要
SAP NetWeaver Application Server for ABAPにおいて、認証チェックの不備に起因する脆弱性(CVE-2026-24310)が報告されました。この脆弱性を悪用されると、認証済みの攻撃者が特定のABAPファンクションモジュールを実行し、ABAPシステムのデータベースカタログから機密情報を読み取れる可能性があります。
影響範囲
SAP NetWeaver Application Server for ABAPが本脆弱性の影響を受けると報告されています。詳細なバージョン情報については、SAPが提供する公式情報を参照することが推奨されます。
想定される影響
本脆弱性が悪用された場合、データベースカタログに保存されている機密情報が不正に読み取られる可能性があります。報告によると、機密性への影響は低いと評価されており、完全性(Integrity)および可用性(Availability)への影響はないとされています。
攻撃成立条件・悪用状況
攻撃を成立させるには、攻撃者がシステムに対して認証されている必要があります。また、特定のABAPファンクションモジュールの実行が必要です。現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
優先度:高
- SAPから提供されるセキュリティパッチやアップデートを速やかに適用してください。これは最も効果的な対策となります。
優先度:中
- SAPシステムのアクセス権限を見直し、最小権限の原則に基づき、不要なABAPファンクションモジュールへのアクセスを制限することを検討してください。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。根本的な解決策として、SAPが提供するパッチの適用が推奨されます。
確認方法
システムが本脆弱性の影響を受けるかどうか、またパッチが適用されているかについては、SAPの公式ドキュメントやセキュリティノートを参照し、システム管理者またはSAPコンサルタントに確認を依頼してください。
参考情報
CVE-2026-24310の詳細については、以下のリンクをご参照ください。
SAPが提供する公式のセキュリティノートやパッチ情報も併せてご確認ください。