SAPのnetweaver application server javaにおけるコードインジェクションの脆弱性
| Title |
SAPのnetweaver application server javaにおけるコードインジェクションの脆弱性
|
| Summary |
SAP NetWeaver Application Server Java(Web Dynpro Java)におけるコードインジェクションの脆弱性により、認証されていない攻撃者が細工された入力を提供し、アプリケーションがそれを解釈して攻撃者が制御するコンテンツを参照させる可能性があります。被害者が影響を受ける機能にアクセスすると、その攻撃者が制御するコンテンツが被害者のブラウザで実行され、セッションの侵害を引き起こす恐れがあります。これにより、攻撃者は任意のクライアント側コードを実行でき、アプリケーションの機密性および完全性に影響を与えますが、可用性には影響しません。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
June 5, 2026, 10:48 a.m. |
| Last Update |
June 5, 2026, 10:48 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| SAP |
|
netweaver application server java 7.50
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月05日]
掲載 |
June 5, 2026, 10:48 a.m. |
NVD Vulnerability Information
CVE-2026-27674
| Summary |
Due to a Code Injection vulnerability in SAP NetWeaver Application Server Java (Web Dynpro Java), an unauthenticated attacker could supply crafted input that is interpreted by the application and causes it to reference attacker-controlled content. If a victim accesses the affected functionality, that attacker-controlled content could be executed in the victim�s browser, potentially resulting in session compromise. This could allow the attacker to execute arbitrary client-side code, impacting the confidentiality and integrity of the application, with no impact to availability.
|
| Publication Date |
April 14, 2026, 9:16 a.m. |
| Registration Date |
April 15, 2026, 11:39 a.m. |
| Last Update |
April 18, 2026, 12:18 a.m. |
Related information, measures and tools
Common Vulnerabilities List