CVE Vulnerability Database

SAP Customer Checkout 2.0において、ローカルに保存される運用データが可逆的な保護メカニズムで扱われる脆弱性（CVE-2026-24311）が報告されました。この脆弱性が悪用されると、ユーザー操作と組み合わせることで、データの不正な改ざんやシステム起動時の動作に影響を及ぼし、機密性と完全性が損なわれる可能性があります。

SAP Solution Tools Plug-In (ST-PI) に、認証済みユーザーに対する適切な認可チェックを欠く機能モジュールが存在することが報告されています。この脆弱性により、システム情報が不正に開示される可能性があります。機密性への影響は低いと評価されており、完全性や可用性への影響はないとされています。IT担当者は、関連するSAPシステムのセキュリティ対策状況を確認し、必要に応じてベンダーからの情報に基づいた対応を検討することが推奨されます。

SAP NetWeaver Application Server for ABAPに、テスト用ABAPレポートを悪用したServer-Side Request Forgery (SSRF) の脆弱性（CVE-2026-24316）が報告されています。これにより、内部または外部の任意のエンドポイントへのHTTPリクエスト送信が可能となり、機密性の高い内部システムへのアクセスや情報漏洩につながる可能性があります。データ機密性と完全性への影響は低いと評価されていますが、速やかな対策が推奨されます。

IBM InfoSphere Data Architect (IDA) バージョン9.2.1に、中程度の脆弱性CVE-2025-36173が報告されました。本脆弱性はシステムに潜在的な影響を及ぼす可能性があり、IT担当者はベンダーからの公式情報を継続的に確認し、適切な対策を講じることが推奨されます。

WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」のバージョン1.0.16以前に、認証されていない攻撃者がアドオンプラグインをインストールできる脆弱性が報告されました。これにより、意図しない機能追加や設定変更が行われる可能性があります。

MediaWikiの拡張機能「Bucket」に、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-30917）が報告されました。バージョン2.1.1未満の環境において、特定のフィールドに悪意のあるスクリプトが挿入され、該当ページ閲覧時に実行される可能性があります。速やかなアップデートが推奨されます。

SAP NetWeaver Enterprise Portal Administrationに、非安全なデシリアライゼーションの脆弱性（CVE-2026-27685）が報告されました。特権ユーザーが悪意のあるコンテンツをアップロードし、それがデシリアライズされることで、ホストシステムの機密性、完全性、可用性に深刻な影響を及ぼす可能性があります。速やかな対策が推奨されます。

SAP NetWeaver Application Server for ABAPに認証不備の脆弱性(CVE-2026-27688)が報告されました。認証された攻撃者が特定のRFC関数モジュールを悪用することで、データベースアナライザーのログファイルを読み取り、機密情報にアクセスできる可能性があります。これにより、情報漏洩の危険性がありますが、システムの完全性や可用性への影響は限定的とされています。

CVE-2026-27689は、SAP Supply Chain Managementに存在するサービス拒否（DoS）の脆弱性です。認証された正規ユーザーが、特定の機能モジュールを悪用することで、システムリソースを過剰に消費させ、システムを停止させる可能性があります。本脆弱性はシステムの可用性に影響を与えますが、機密性や完全性への影響は報告されていません。