製品・ソフトウェアに関する情報

JVN脆弱性詳細

SAPのSAP Netweaver Application Server ABAPにおけるクロスサイトスクリプティングの脆弱性

Title	SAPのSAP Netweaver Application Server ABAPにおけるクロスサイトスクリプティングの脆弱性
Summary	SAP NetWeaver Application Server ABAP（Business Server Pagesに基づくアプリケーション）にはリフレクティッドクロスサイトスクリプティング（XSS）脆弱性が存在します。この脆弱性により、認証されていない攻撃者が保護されていないURLパラメータを悪用したURLを作成し、悪意のあるスクリプトを埋め込む可能性があります。被害者がそのリンクをクリックすると、注入された入力がWebページ生成時に処理され、被害者のブラウザコンテキストで悪意のあるコンテンツが実行されます。これにより攻撃者は情報のアクセスおよび/または改ざんを行うことができ、アプリケーションの機密性と完全性に影響を及ぼしますが、可用性には影響を与えません。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 12, 2026, midnight
Registration Date	June 5, 2026, 10:48 a.m.
Last Update	June 5, 2026, 10:48 a.m.

Affected System

SAP

SAP Netweaver Application Server ABAP 700

SAP Netweaver Application Server ABAP 701

SAP Netweaver Application Server ABAP 702

SAP Netweaver Application Server ABAP 731

SAP Netweaver Application Server ABAP 740

SAP Netweaver Application Server ABAP 750

SAP Netweaver Application Server ABAP 751

SAP Netweaver Application Server ABAP 752

SAP Netweaver Application Server ABAP 753

SAP Netweaver Application Server ABAP 754

SAP Netweaver Application Server ABAP 755

SAP Netweaver Application Server ABAP 756

SAP Netweaver Application Server ABAP 757

SAP Netweaver Application Server ABAP 758

SAP Netweaver Application Server ABAP 816

SAP Netweaver Application Server ABAP 918

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-27682	https://www.cve.org/CVERecord?id=CVE-2026-27682
National Vulnerability Database (NVD)
2	CVE-2026-27682	https://nvd.nist.gov/vuln/detail/CVE-2026-27682

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
SAP Security Patch Day
1	SAP Security Notes & News	https://url.sap/sapsecuritypatchday

Change Log

No	Changed Details	Date of change
1	[2026年06月05日] 掲載	June 5, 2026, 10:48 a.m.

NVD Vulnerability Information

CVE-2026-27682

Summary	Due to a reflected cross-site scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), an unauthenticated attacker could craft a URL that exploits an unprotected URL parameter to embed a malicious script. If a victim clicks the link, the injected input is processed during web page generation, resulting in the execution of malicious content in the victim�s browser context. This could allow the attacker to access and/or modify information, impacting the confidentiality and integrity of the application, with no impact to availability.
Publication Date	May 12, 2026, 12:16 p.m.
Registration Date	May 13, 2026, 4:11 a.m.
Last Update	May 12, 2026, 11:19 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://me.sap.com/notes/3728690	cna@sap.com
2	https://url.sap/sapsecuritypatchday	cna@sap.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html