SAP vừa công bố 15 bản vá bảo mật mới trong Ngày Vá Lỗi tháng 3 năm 2026, nhằm khắc phục một loạt các lỗ hổng CVE trên toàn bộ danh mục sản phẩm của hãng. Đáng chú ý, có hai lỗ hổng nghiêm trọng có thể dẫn đến remote code execution và toàn quyền kiểm soát hệ thống. SAP khuyến nghị tất cả khách hàng truy cập Cổng Hỗ trợ của mình để ưu tiên áp dụng các bản vá nhằm bảo vệ hệ thống SAP.

Phân Tích Chi Tiết Các Lỗ Hổng CVE Nghiêm Trọng

CVE-2019-17571: Remote Code Execution trong SAP Quotation Management Insurance

Lỗ hổng CVE nghiêm trọng nhất được xử lý trong đợt này là CVE-2019-17571, với điểm CVSS 9.8. Lỗ hổng này ảnh hưởng đến ứng dụng SAP Quotation Management Insurance (FS-QUO 800).

Vấn đề phát sinh từ việc nhúng một thành phần Apache Log4j SocketServer đã lỗi thời vào sản phẩm. Đây là một lớp chấp nhận và khử tuần tự các sự kiện nhật ký đã được tuần tự hóa mà không cần xác thực.

Điều này cho phép kẻ tấn công từ xa không cần xác thực thực thi mã tùy ý trên hệ thống máy chủ. Mặc dù định danh CVE có từ năm 2019, đây là bản vá bảo mật đầu tiên được phát hành cụ thể cho FS-QUO 800, làm nổi bật nguy cơ từ các thành phần cũ trong phần mềm doanh nghiệp bị phơi nhiễm trong thời gian dài.

Để biết thêm chi tiết về CVE-2019-17571, tham khảo National Vulnerability Database (NVD).

CVE-2026-27685: Lỗi Deserialization Không An Toàn trong SAP NetWeaver Enterprise Portal

Vấn đề nghiêm trọng thứ hai là CVE-2026-27685, có điểm CVSS 9.1. Lỗ hổng này ảnh hưởng đến SAP NetWeaver Enterprise Portal Administration chạy EP-RUNTIME 7.50.

Đây là một lỗi khử tuần tự không an toàn, cho phép người dùng có đặc quyền tải lên nội dung độc hại hoặc không đáng tin cậy. Khi nội dung này được máy chủ khử tuần tự, nó có thể gây ra tác động nghiêm trọng đến tính bảo mật, tính toàn vẹn và khả năng sẵn sàng của hệ thống máy chủ, mở ra con đường đến việc kiểm soát toàn bộ hệ thống.

SAP Security Note 3714585 đã được phát hành để khắc phục lỗ hổng CVE này.

Lỗ Hổng CVE Mức Độ Nghiêm Trọng Cao: Denial-of-Service trong SAP Supply Chain Management

CVE-2026-27689: Tấn Công Từ Chối Dịch Vụ

Một lỗ hổng CVE từ chối dịch vụ (denial-of-service) có mức độ nghiêm trọng cao là CVE-2026-27689, với điểm CVSS 7.7. Lỗ hổng này đã được vá trong SAP Supply Chain Management, ảnh hưởng đến nhiều phiên bản của SCMAPO, S4CORE, S4COREOP, và SCM.

Kẻ tấn công đã xác thực, có đặc quyền thấp có thể khai thác lỗ hổng CVE này qua mạng để làm gián đoạn khả năng sẵn sàng trên các thành phần quản lý chuỗi cung ứng bị ảnh hưởng, mà không yêu cầu bất kỳ tương tác nào từ người dùng.

Các Lỗ Hổng CVE Mức Độ Trung Bình và Thấp Khác

Đợt vá lỗi tháng này cũng bao gồm một số bản vá bảo mật cho các lỗ hổng CVE mức độ trung bình và thấp, trải rộng trên các nền tảng được triển khai rộng rãi nhất của SAP.

Kiểm Tra Quyền Hạn Bị Thiếu Sót

• CVE-2026-27686: Thiếu kiểm tra ủy quyền trong SAP Business Warehouse.
• CVE-2026-27687: Thiếu kiểm tra ủy quyền trong SAP S/4HANA HCM Portugal.
• CVE-2026-27688: Thiếu kiểm tra ủy quyền trong SAP NetWeaver AS for ABAP.
• CVE-2026-24313: Thiếu kiểm tra ủy quyền trong SAP Solution Tools Plug-In.

Các Vấn Đề Bảo Mật Khác

Các bản vá bảo mật mức độ thấp hơn bao gồm:

• CVE-2026-24311: Bảo vệ lưu trữ không an toàn trong SAP Customer Checkout 2.0.
• CVE-2026-24317: Lỗi chiếm quyền điều khiển DLL (DLL Hijacking) trong SAP GUI for Windows với GuiXT hoạt động.
• CVE-2025-9230 và CVE-2025-9232: Điều kiện từ chối dịch vụ liên quan đến phiên bản OpenSSL lỗi thời trong thành phần Adobe Document Services của SAP NetWeaver AS Java.
• CVE-2026-24310: Lỗi thiếu ủy quyền mức độ thấp trong SAP NetWeaver AS for ABAP.

Hành Động Khuyến Nghị và Triển Khai Bản Vá Bảo Mật

Các quản trị viên SAP nên coi hai ghi chú bảo mật quan trọng 3698553 và 3714585 là ưu tiên hàng đầu, do nguy cơ remote code execution mà chúng gây ra.

Các tổ chức đang chạy SAP NetWeaver, SAP Supply Chain Management, hoặc SAP Business One cần kiểm tra tất cả các dải phiên bản bị ảnh hưởng và áp dụng các ghi chú bảo mật tương ứng thông qua Cổng Hỗ trợ SAP mà không chậm trễ. Việc duy trì một chu trình quản lý bản vá bảo mật có cấu trúc, phù hợp với lịch trình vá lỗi hàng tháng của SAP (thứ Ba thứ hai hàng tháng), là một thực hành nền tảng cho an ninh SAP doanh nghiệp.

Để truy cập các ghi chú bảo mật và tải xuống các bản vá bảo mật mới nhất của SAP, vui lòng truy cập Cổng Hỗ trợ SAP.