개요.
SAP는 2026년 4월 보안 업데이트를 통해 다수 제품의 취약점을 수정했다.
영향 대상 및 취약점.
CVE-2026-27681은 SAP Business Planning and Consolidation(HANABPC 810, BPC4HANA 300) 및 SAP Business Warehouse(SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816)에서 발생하는 SQL 인젝션 취약점이다.
CVE-2026-34256은 SAP ERP(SAP_FIN 618, 720, 730, EA-FIN 617, 700, EA-APPL 600, 602, 603, 604, 605, 606) 및 SAP S/4HANA(Private Cloud 및 On-Premise: SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109)에서 발생하는 권한 확인 누락 취약점이다.
공격 방식 및 영향.
SQL 인젝션 취약점은 악의적 입력을 통해 데이터베이스 쿼리를 조작할 수 있어 데이터 유출, 무결성 손상 또는 추가 악성 행위로 이어질 수 있다.
권한 확인 누락 취약점은 권한 없는 사용자의 특정 기능 접근 또는 권한 상승으로 이어질 가능성이 있다.
대응 및 권고.
SAP는 각 취약점에 대한 보안 패치를 공개했으며 최신 보안 패치로 취약점이 해결되었다.
영향을 받는 제품과 버전은 SAP가 제공한 보안 노트와 패치 정보를 확인해 최신 패치로 업데이트하는 것이 권장된다.
참고자료.
- SAP Security Patch Day – April 2026: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html.
- CVE-2026-27681 보안 노트: https://me.sap.com/notes/3719353.
- CVE-2026-34256 보안 노트: https://me.sap.com/notes/3731908.