SAP NetWeaver Application Server Java (Web Dynpro Java) におけるコードインジェクション (Code Injection) の脆弱性

この脆弱性を悪用されると、攻撃者はWeb Dynpro Javaアプリケーションの処理フローを制御し、悪意のあるJavaScriptコードを被害者のブラウザ上で実行させることが可能になります。これにより、セッションハイジャック、機密情報の窃取、データの改ざんといった攻撃が実行される可能性があります。特に、機密情報を取り扱うWebアプリケーションや、認証情報を保存する機能を持つアプリケーションでは、深刻な被害が発生する可能性があります。攻撃者は、この脆弱性を利用して、内部ネットワークへのアクセスを試み、さらなる攻撃を仕掛ける可能性も考えられます。

Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.

• java / server:

# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code

• generic web:

# Monitor access logs for unusual requests containing potentially malicious input
 grep -i 'script' /var/log/apache2/access.log

1. 2026-04-14Disclosure

   disclosure

1. 予約済み2026-02-23
2. 公開日2026-04-14
3. 更新日2026-04-15
4. EPSS 更新日2026-04-21

SAPは、この脆弱性に対する修正パッチをリリースしています。まずは、SAP Security Notesを参照し、最新のパッチを適用することを強く推奨します。パッチの適用が困難な場合は、入力値の検証を強化し、Webアプリケーションファイアウォール（WAF）を使用して、悪意のある入力をブロックすることを検討してください。また、Web Dynpro Javaアプリケーションのアクセス制御を強化し、不要な機能へのアクセスを制限することも有効です。パッチ適用後、アプリケーションの動作を確認し、脆弱性が解消されていることを確認してください。