SAP修補商業規畫與合併財務報表系統、企業資料倉儲系統重大漏洞

根據CVSS風險評分，最危險的是SQL注入漏洞CVE-2026-27681，影響商業規畫與合併財務報表系統SAP Business Planning and Consolidation（SAP BPC），以及企業資料倉儲系統SAP Business Warehouse（SAP BW），CVSS風險評為9.9分（滿分10分），屬重大等級。此漏洞形成原因在於上述系統的授權檢查不夠充分，通過身分驗證的攻擊者能執行指定的SQL描述指令（SQL Statement），從而讀取、竄改、刪除資料庫內容。

長期觀察並參與SAP漏洞修補的資安公司Onapsis也對此漏洞提出說明，低權限的攻擊者只要上傳帶有任何SQL描述指令的檔案，SAP BPC與SAP BW的ABAP程式就會執行，SAP在受影響的應用程式停用可執行的程式碼，以緩解漏洞。若是IT人員無法及時套用修補程式，Onapsis建議可在使用者帳號註銷S_GUI授權物件的上傳權限，不過，該公司強調，此臨時緩解措施有可能對其他應用程式造成影響，再加上漏洞非常嚴重，Onapsis仍呼籲IT人員儘速套用更新。