SAP Security Patch Day - 2026.01

SAP Security Patch Day - 2026.01

• SAP Security Patch Day – January 2026

2026년 1월 13일, SAP Security Patch Day 에 17개의 새로운 Security Notes 가 출시되었다.

---

1. OverView

= 전체 보안 노츠 건수 : 17건

🔴 HotNews/ Critical  : 4건
🟠 High Priority       : 4건
🟡 Medium Priority   : 7건
⚪ Low Priority       : 2건

= 전체 요약

2026년부터는 Hot News 와 Critical 등급의 보안 Notes 에 대해서만 정리를 하려한다. (High 제외)

중요하고, 긴급한 보안 이슈에 더 집중하여, 보다 자세한 설명과 내용 정리를 통해 글의 품질을 높이는 것이 목적이다.

이번 달에는 치명적(Critical) 등급의 보안 Notes 는 4개가 있으며, 해당 Notes 모두 메일로도 릴리즈 소식이 전달되었다.

이 중, 3개의 보안 Notes 는 SQL/Code Injection 취약점이며, 나머지 1개는 Remote Code Execution 취약점이다.

Injection 취약점의 경우, 백도어 역할로 시스템을 무력화시킬 수 있으며, 사실상 모든 S/4HANA 시스템이 대상이기에, 꼭 확인하길 바란다.

또한, 이번 보안 뉴스를 통해서 S_RFC 권한 오브젝트 확인도 해보길 바란다.
S_RFC 는 특수한 경우를 제외하고는 필드 값 * 의 사용을 최대한 지양해야 한다.

---

2. Important News

🔴 2-1. 3687749 - [CVE-2026-0501] SQL Injection Vulnerability in SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger)

🔰 Notes Release : 2026.01.13 (Version 18)

🔰 CVSS Base Vector : 9.9 (치명적)

✅ 요약

SAP S/4HANA Private Cloud 및 On-Premise (FI-일반 원장) 에서,
입력 유효성 검사가 불충분하여 인증된 사용자가 조작된 SQL 쿼리를 실행하여, 백엔드 데이터베이스 데이터를 읽거나 수정, 삭제할 수 있음.

※ FAQ 문서

• SAP Notes 3700593 - FAQs for SAP Note 3687749: SQL Injection vulnerability in SAP S/4 HANA Private Cloud (Financials General Ledger)

✅ 어플리케이션 영향도

어플리케이션의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

입력 유효성 검사 불충분
S_RFC 권한 오브젝트가 광범위(*) 하게 부여된 경우에 취약

✅ 요약 해결책

◾ S4CORE 서포트 패키지(SP) 패치
◾ Security Notes 적용

◾ (Workaround) S_RFC 권한 오브젝트 제한

• RFC_TYPE : FUGR
• RFC_NAME : FGL_BCF
• ACTVT : 16

• RFC_TYPE : FUNC
• RFC_NAME : FGL_BCF_SQL_EST_SUBPACKAGE
• ACTVT : 16

SAP 에서는 S_RFC 권한 오브젝트의 RFC_NAME 필드 값에 * 를 사용하지 않는 것을 권장한다.

✅ 대상 소프트웨어 컴포넌트

◾ S4CORE 102 ~ 109

🔴 2-2. 3668679 - [CVE-2026-0500] Remote code execution in SAP Wily Introscope Enterprise Manager (WorkStation)

🔰 Notes Release : 2026.01.13 (Version 26)

🔰 CVSS Base Vector : 9.6 (치명적)

✅ 요약

SAP Wily Introscope Enterprise Manager 의 원격 코드 실행 취약점으로 인해,
인증되지 않은 공격자가 URL을 통해서 접근 가능한 악성 JNLP(Java Network Launch Protocol) 파일을 생성할 수 있음.
해당 URL을 클릭하면, 접근한 Wily Introscope 서버에서 사용자의 애플리케이션으로 원격 명령을 실행할 수 있음.

※ FAQ 문서

• SAP Notes 3702381 - FAQ for security note 3668679

✅ 어플리케이션 영향도

어플리케이션의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

요청 매개변수에 대한 유효성 검사 불충분

✅ 요약 해결책

◾ Wily Introscope Enterprise Manager 10.8 SP01 patch 2 (10.8.0.220) 이상으로 업그레이드

◾ (Workaround) .jnlp 파일로 Wily Introscope 를 실행하는 대신, Standalone Workstation (독립형 워크스테이션) 패키지로의 전환
=> 자세한 내용은 해당 보안 Notes 참조

✅ 대상 소프트웨어 컴포넌트

◾ WILY_INTRO_ENTERPRISE 10.8 SP01 patch 1

🔴 2-3. 3694242 - [CVE-2026-0498] Code Injection vulnerability in SAP S/4HANA (Private Cloud and On-Premise)

🔰 Notes Release : 2026.01.13 (Version 3)

🔰 CVSS Base Vector : 9.1 (치명적)

✅ 요약

SAP S/4HANA Private Cloud 및 On-Premise 에서,
관리자 권한을 가진 공격자가, RFC 를 통해 노출된 함수 모듈의 취약점을 악용할 수 있음.
이 취약점으로 인해 필수적인 권한 검사를 우회하여, 임의의 ABAP 코드/ OS 명령을 시스템에 삽입할 수 있음.

※ FAQ 문서

• SAP Notes 3698254 - FAQ for Security Note 3694242

✅ 어플리케이션 영향도

시스템의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

RFC 함수 모듈의 취약점 노출

✅ 요약 해결책

◾ S4CORE 서포트 패키지(SP) 패치
◾ Security Notes 적용

✅ 대상 소프트웨어 컴포넌트

◾ S4CORE 102 ~ 109

🔴 2-4. 3697979 - [CVE-2026-0491] Code Injection vulnerability in SAP Landscape Transformation

🔰 Notes Release : 2026.01.13 (Version 5)

🔰 CVSS Base Vector : 9.1 (높음)

✅ 요약

SAP Landscape Transformation 에서,
관리자 권한을 가진 공격자가, RFC 를 통해 노출된 함수 모듈의 취약점을 악용할 수 있음.
이 취약점으로 인해 필수적인 권한 검사를 우회하여, 임의의 ABAP 코드/ OS 명령을 시스템에 삽입할 수 있음.

※ FAQ 문서

• SAP Notes 3698186 - FAQ for security note 3697979

✅ 어플리케이션 영향도

시스템의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

RFC 함수 모듈의 취약점 노출

✅ 요약 해결책

◾ DMIS 서포트 패키지(SP) 패치
◾ Security Notes 적용

✅ 대상 소프트웨어 컴포넌트

◾ DMIS 2011_1_700 ~ 2011_1_752 / 2020

---