SAP发布重要安全更新 修复高危远程代码执行漏洞

SAP 于 2026 年 3 月发布月度安全补丁，在全产品生态中修复15 个全新安全漏洞。本次更新尤为关键，其中包含两个高危漏洞，若未及时修复，可能导致远程代码执行或系统完全沦陷。

安全团队应优先处理以下两个 CVSS 评分超 9.0 的漏洞：

[CVE-2019-17571] SAP 报价管理保险模块（FS-QUO）

该漏洞 CVSS 评分 9.8，源于 Log4j 1.2 中过时的 SocketServer 类。

攻击者可利用该漏洞实现不受信数据反序列化，当系统监听外部网络流量时，可直接触发远程代码执行（RCE）。

[CVE-2026-27685] SAP NetWeaver 企业门户管理

本次更新修复一处不安全反序列化漏洞，CVSS 评分 9.1。

拥有上传权限的用户可上传恶意内容触发漏洞，对目标主机的机密性、完整性、可用性造成毁灭性影响。

除关键漏洞外，多款应用也获得重要安全更新：

供应链管理拒绝服务漏洞 [CVE-2026-27689]

高危漏洞（CVSS 7.7），属于不受控资源消耗问题。

已认证攻击者可通过大循环参数反复调用特定功能，耗尽系统资源，导致全线业务中断。

NetWeaver AS for ABAP

核心组件获得多项更新，修复：

SAP Business One（任务服务）

存在 DOM 型跨站脚本（XSS） 漏洞 [CVE-2026-0489]，攻击者可在用户浏览器中执行恶意脚本。

SAP GUI 的 DLL 劫持漏洞

使用 Windows 且启用 GuiXT 的用户需更新 [CVE-2026-24317]，防止攻击者通过恶意 DLL 执行未授权代码。