製品・ソフトウェアに関する情報

JVN脆弱性詳細

SAPのSAP Netweaver Application Server ABAPにおけるクロスサイトスクリプティングの脆弱性

タイトル	SAPのSAP Netweaver Application Server ABAPにおけるクロスサイトスクリプティングの脆弱性
概要	SAP NetWeaver Application Server ABAP（Business Server Pagesに基づくアプリケーション）にはリフレクティッドクロスサイトスクリプティング（XSS）脆弱性が存在します。この脆弱性により、認証されていない攻撃者が保護されていないURLパラメータを悪用したURLを作成し、悪意のあるスクリプトを埋め込む可能性があります。被害者がそのリンクをクリックすると、注入された入力がWebページ生成時に処理され、被害者のブラウザコンテキストで悪意のあるコンテンツが実行されます。これにより攻撃者は情報のアクセスおよび/または改ざんを行うことができ、アプリケーションの機密性と完全性に影響を及ぼしますが、可用性には影響を与えません。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月12日0:00
登録日	2026年6月5日10:48
最終更新日	2026年6月5日10:48

影響を受けるシステム

SAP

SAP Netweaver Application Server ABAP 700

SAP Netweaver Application Server ABAP 701

SAP Netweaver Application Server ABAP 702

SAP Netweaver Application Server ABAP 731

SAP Netweaver Application Server ABAP 740

SAP Netweaver Application Server ABAP 750

SAP Netweaver Application Server ABAP 751

SAP Netweaver Application Server ABAP 752

SAP Netweaver Application Server ABAP 753

SAP Netweaver Application Server ABAP 754

SAP Netweaver Application Server ABAP 755

SAP Netweaver Application Server ABAP 756

SAP Netweaver Application Server ABAP 757

SAP Netweaver Application Server ABAP 758

SAP Netweaver Application Server ABAP 816

SAP Netweaver Application Server ABAP 918

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-27682	https://www.cve.org/CVERecord?id=CVE-2026-27682
National Vulnerability Database (NVD)
2	CVE-2026-27682	https://nvd.nist.gov/vuln/detail/CVE-2026-27682

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
SAP Security Patch Day
1	SAP Security Notes & News	https://url.sap/sapsecuritypatchday

変更履歴

No	変更内容	変更日
1	[2026年06月05日] 掲載	2026年6月5日10:48

NVD脆弱性情報

CVE-2026-27682

概要	Due to a reflected cross-site scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), an unauthenticated attacker could craft a URL that exploits an unprotected URL parameter to embed a malicious script. If a victim clicks the link, the injected input is processed during web page generation, resulting in the execution of malicious content in the victim�s browser context. This could allow the attacker to access and/or modify information, impacting the confidentiality and integrity of the application, with no impact to availability.
公表日	2026年5月12日12:16
登録日	2026年5月13日4:11
最終更新日	2026年5月12日23:19

No	URL	refsource	タグ
1	https://me.sap.com/notes/3728690	cna@sap.com
2	https://url.sap/sapsecuritypatchday	cna@sap.com