CVE Vulnerability Database

SAP Business Warehouse (Service API) に認証チェックの不備（CVE-2026-27686）が報告されました。認証済みの攻撃者が特定のRFC関数モジュールを悪用することで、不正な設定変更やサービス拒否を引き起こす可能性があります。速やかな対策が推奨されます。

JavaScriptのシェルエスケープライブラリShescapeのバージョン2.1.9未満に、シェル誤認識の脆弱性（CVE-2026-30916）が報告されています。特定の条件下で攻撃者がシェルエスケープを迂回し、機密情報が漏洩する可能性があります。本脆弱性はバージョン2.1.9で修正されています。

SAP S/4HANA HCM PortugalおよびSAP ERP HCM Portugalに、権限チェックの欠如に関する脆弱性（CVE-2026-27687）が報告されました。この脆弱性により、高い権限を持つユーザーが、本来アクセスすべきではない他社の機密データにアクセスできる可能性があります。機密性への影響は高いと評価されています。

SAP Business OneのJob Serviceにおいて、URLのクエリパラメータに対する入力検証が不十分なため、DOMベースのクロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-0489）が報告されました。認証されていない攻撃者が細工された入力を注入し、ユーザーが操作することで悪用される可能性があります。機密性と完全性への影響は低いと評価されています。

WordPressプラグイン「Booking Calendar for Appointments and Service Businesses – Booktics」のバージョン1.0.16以前に、REST APIエンドポイントにおける認証不備の脆弱性（CVE-2026-1919）が報告されています。これにより、認証されていない攻撃者が機微なデータを不正に照会できる可能性があります。影響を受けるシステムでは、速やかにプラグインのアップデートを検討し、セキュリティ対策を強化することが推奨されます。

SAP NetWeaver Application Server for ABAPに認証不備の脆弱性(CVE-2026-24309)が報告されました。認証された攻撃者が特定のABAPファンクションモジュールを実行することで、データベース設定テーブルのエントリを不正に読み取り、変更、または挿入する可能性があります。これにより、システムパフォーマンスの低下や中断が発生する恐れがあります。

CVE-2026-3763は、code-projects Simple Flight Ticket Booking System 1.0のshowhistory.phpファイルに存在するクロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性はリモートから悪用可能であり、すでに攻撃コードが公開されていると報告されています。影響を受けるシステムでは、ユーザーセッションの乗っ取りや悪意のあるコンテンツの表示などが発生する可能性があります。

SourceCodester Client Database Management System 1.0に、不適切な認証の脆弱性（CVE-2026-3764）が報告されています。この脆弱性は、`/superadmin_user_update.php`ファイル内の機能に存在し、リモートからの攻撃により悪用される可能性があります。すでに攻撃コードが公開されており、早急な対応が推奨されます。

SourceCodester Web-based Pharmacy Product Management System 1.0において、クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-3766）が報告されました。edit-profile.phpファイルのfullname引数を操作することで、リモートからの攻撃が可能とされています。本脆弱性の深刻度は中（MEDIUM）と評価されており、既にエクスプロイトコードが公開されているため、早急な対策が推奨されます。