平台
sap
组件
sap-fiori-app-intercompany-balance-reconciliation
修复版本
70.0.1
600.0.1
700.0.1
800.0.1
900.0.1
901.0.1
902.0.1
4.0.1
103.0.1
104.0.1
105.0.1
106.0.1
107.0.1
108.0.1
109.0.1
4.0.1
CVE-2026-0493 描述了 SAP Fiori App (Intercompany Balance Reconciliation) 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在经过身份验证的用户不知情的情况下执行状态改变操作,从而可能导致系统完整性受损。该漏洞影响 SAP Fiori App (Intercompany Balance Reconciliation) 的版本低于或等于 UIS4H 109。建议用户尽快升级至 4.0.1 版本以修复此漏洞。
攻击者可以利用此 CSRF 漏洞,通过伪造请求,在受影响的 SAP 系统中执行未经授权的操作。例如,攻击者可能能够修改财务数据、更改用户权限或执行其他敏感操作,从而损害系统的完整性。由于该漏洞仅影响完整性,不会影响机密性和可用性,因此其潜在影响相对较低,但仍需重视。攻击者可能通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞,从而在用户不知情的情况下执行攻击。
该漏洞已于 2026 年 1 月 13 日公开披露。目前尚无公开的利用程序 (PoC),但 CSRF 漏洞通常容易被利用。由于该漏洞的 CVSS 评分为中等,因此存在一定程度的利用风险。建议密切关注安全社区的动态,以便及时了解最新的威胁情报。
Organizations utilizing the SAP Fiori App Intercompany Balance Reconciliation application, particularly those running versions prior to 4.0.1, are at risk. This includes companies with complex intercompany transactions and those relying on accurate financial reporting. Shared hosting environments where multiple tenants share the same SAP instance may also be vulnerable if proper isolation measures are not in place.
• sap: Examine SAP application logs for unusual request patterns, particularly those involving Intercompany Balance Reconciliation functionality. Look for requests originating from unexpected IP addresses or user agents.
zgrep "Intercompany Balance Reconciliation" /var/log/sap/app/<SID>/<instance>/trace.txtdisclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2026-0493 的风险,建议立即升级 SAP Fiori App (Intercompany Balance Reconciliation) 至 4.0.1 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如实施严格的输入验证和输出编码,以防止恶意请求。此外,建议启用 CSRF 防护机制,例如使用 CSRF token 或其他身份验证技术,以确保只有授权用户才能执行敏感操作。升级后,请验证系统是否已成功应用修复程序,并确认 CSRF 漏洞已得到解决。
应用 SAP 安全提示 3655229 以修复 CSRF 漏洞。请参阅 SAP 文档,了解有关如何在 SAP Fiori 环境中应用补丁和安全更新的详细说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-0493 是 SAP Fiori App (Intercompany Balance Reconciliation) 中的一个跨站请求伪造 (CSRF) 漏洞,攻击者可以利用它在用户不知情的情况下执行操作。
如果您使用的 SAP Fiori App (Intercompany Balance Reconciliation) 版本低于或等于 UIS4H 109,则您可能受到影响。
建议升级至 SAP Fiori App (Intercompany Balance Reconciliation) 4.0.1 或更高版本。
目前尚无公开的利用程序,但 CSRF 漏洞通常容易被利用,存在一定风险。
请访问 SAP Security Notes 网站,搜索 CVE-2026-0493 以获取官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。