企業安全公司 SAP 週二宣布發布 15 個新的安全補丁，作為其 2026 年 3 月安全補丁日的一部分。這些說明中最重要的是解決了報價管理保險 (FS-QUO) 和 NetWeaver 企業入口網站管理中的嚴重漏洞。

SAP 將 FS-QUO 漏洞（編號為 CVE-2019-17571，CVSS 評分為 9.8）描述為程式註入問題。該漏洞最初於 2019 年 12 月披露，是 Apache Log4j 中一個反序列化不受信任資料的缺陷，在某些情況下，遠端攻擊者可能利用該缺陷執行任意程式碼。

第二個嚴重程度的漏洞，編號為 CVE-2026-27685（CVSS 評分為 9.1），是另一個反序列化不受信任資料的問題。這可能允許攻擊者上傳不受信任的數據，這些數據在反序列化時可能導致程式碼執行、拒絕服務 (DoS) 或權限提升。

SAP 在 2026 年 3 月安全修補日發布的第三份安全說明解決了供應鏈管理中的高風險 DoS 漏洞 CVE-2026-27689（CVSS 評分為 7.7）。這個漏洞允許攻擊者重複呼叫一個未指定的函數，並設定一個非常大的循環控制參數，最終透過持續執行耗盡系統資源。

SAP 剩餘的新安全說明解決了 NetWeaver、Business One、Business Warehouse、S/4HANA、Customer Checkout 2.0、GUI for Windows 和 Solution Tools Plug-In 中的中等嚴重性問題。

已解決的安全缺陷包括伺服器端請求偽造 (SSRF)、缺少授權檢查、SQL 注入、XSS、不安全的儲存保護、DLL 劫持和 DoS 漏洞。SAP 沒有提及這些漏洞中的任何一個已被實際利用，但使用者應盡快更新其部署。

資料來源：https://www.securityweek.com/sap-patches-critical-fs-quo-netweaver-vulnerabilities/