CRITICALCVE-2026-27681CVSS 9.9

SAP Business Planning and Consolidation 和 SAP Business Warehouse 中的 SQL 注入漏洞

平台

sap

组件

sap-business-planning-and-consolidation

修复版本

810.0.1

4.0.1

750.0.1

752.0.1

753.0.1

754.0.1

755.0.1

756.0.1

757.0.1

758.0.1

816.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27681 是 SAP Business Planning and Consolidation 和 SAP Business Warehouse 中的 SQL 注入漏洞。由于权限检查不足，经过身份验证的用户可以执行精心构造的 SQL 语句，从而访问数据库。此漏洞可能导致敏感数据泄露、数据损坏，甚至系统不可用。受影响的版本包括 8.10–SAP_BW 750。建议尽快应用官方补丁。

影响与攻击场景

该 SQL 注入漏洞允许攻击者绕过身份验证机制，直接与数据库交互。攻击者可以利用此漏洞读取、修改甚至删除数据库中的敏感数据，例如财务记录、客户信息和业务计划。更严重的是，攻击者可能利用此漏洞执行任意代码，从而完全控制受影响的系统。由于 SAP 系统通常用于存储关键业务数据，因此该漏洞的潜在影响非常大，可能导致严重的财务损失、声誉损害和法律责任。攻击者可以利用此漏洞进行数据盗窃、勒索和破坏活动，甚至可能利用受影响的系统作为跳板攻击其他系统。

利用背景

该漏洞已公开披露，且 CVSS 评分为 9.9 (CRITICAL)，表明其风险极高。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易于利用性，预计未来可能会出现利用案例。建议密切关注安全社区的动态，并及时采取应对措施。该漏洞可能被添加到 CISA KEV 目录中，以提醒组织注意其风险。

哪些人处于风险中翻译中…

Organizations heavily reliant on SAP Business Planning and Consolidation and SAP Business Warehouse for financial planning, budgeting, and supply chain management are particularly at risk. Companies with legacy SAP deployments or those that have not implemented robust security controls are also more vulnerable. Shared hosting environments where multiple tenants share the same SAP instance should be carefully reviewed for potential cross-tenant exploitation.

检测步骤翻译中…

• sap: Use SAP Solution Manager to check for missing security patches and identify affected systems. • linux / server: Monitor SAP application logs for unusual SQL queries or error messages indicating potential injection attempts. Use journalctl -u <sapservicename> to filter for relevant log entries. • generic web: Monitor web application firewall logs for SQL injection patterns targeting SAP endpoints. Use curl -v <sap_endpoint> to test for unexpected behavior and potential injection points.

攻击时间线

2026-04-14Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (16% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件sap-business-planning-and-consolidation

供应商SAP_SE

影响范围修复版本

HANABPC 810 – HANABPC 810810.0.1

BPC4HANA 300 – BPC4HANA 3004.0.1

SAP_BW 750 – SAP_BW 750750.0.1

752 – 752752.0.1

753 – 753753.0.1

754 – 754754.0.1

755 – 755755.0.1

756 – 756756.0.1

757 – 757757.0.1

758 – 758758.0.1

816 – 816816.0.1

弱点分类 (CWE)

CWE-89

时间线

已保留2026-02-23
发布日期2026-04-14
EPSS 更新日期2026-04-21

未修复 — 披露已40天

缓解措施和替代方案

SAP 官方已发布补丁以修复此漏洞。建议立即升级到包含修复程序的最新版本。如果无法立即升级，可以考虑以下缓解措施：限制对数据库的访问权限，仅允许授权用户访问必要的数据。实施严格的输入验证和参数化查询，以防止 SQL 注入攻击。使用 Web 应用防火墙 (WAF) 过滤恶意 SQL 语句。定期审查 SAP 系统的安全配置，确保其符合最佳实践。在升级后，请验证补丁是否已成功应用，并确认系统功能是否正常。

修复方法

应用 SAP 安全补丁 3719353 以缓解 SQL 注入漏洞。此补丁修复了允许执行恶意 SQL 语句的授权检查缺陷，从而保护了系统的机密性、完整性和数据可用性。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27681 — SQL 注入漏洞在 SAP Business Planning and Consolidation 中？

CVE-2026-27681 是 SAP Business Planning and Consolidation 中的一个 SQL 注入漏洞，允许攻击者执行恶意 SQL 语句，从而访问和修改数据库数据。

我是否受到 CVE-2026-27681 在 SAP Business Planning and Consolidation 中影响？

如果您正在使用 SAP Business Planning and Consolidation 8.10–SAP_BW 750 版本，则可能受到影响。请立即检查您的系统并应用补丁。

我如何修复 CVE-2026-27681 在 SAP Business Planning and Consolidation 中？

建议升级到包含修复程序的最新版本。如果无法立即升级，请采取缓解措施，例如限制数据库访问和实施输入验证。

CVE-2026-27681 是否正在被积极利用？

目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易于利用性，预计未来可能会出现利用案例。

在哪里可以找到 SAP 官方关于 CVE-2026-27681 的安全公告？

请访问 SAP 安全公告网站以获取更多信息：[https://www.sap.com/security/bulletins.html](https://www.sap.com/security/bulletins.html)

NextGuard

漏洞

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

搜索 CVE

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 低 — 任何有效用户账户均可。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 已改变 — 攻击可以超出脆弱组件，影响其他系统。
Confidentiality: 高 — 完全丧失机密性，攻击者可读取所有数据。
Integrity: 高 — 攻击者可写入、修改或删除任何数据。
Availability: 高 — 完全崩溃或资源耗尽，完全拒绝服务。