2026 年 4 月 8 日,SAP 發佈每月例行的安全修補日,共推出 20 份安全通告。其中最引人注目的是一個 CVSS 9.9 的嚴重漏洞——CVE-2026-27681:SAP Business Planning and Consolidation(BPC)與 SAP Business Warehouse 的 SQL injection 漏洞。任何已認證、僅具低權限的使用者,都能藉此對企業核心財務資料庫執行任意 SQL。
發生了什麼
問題出在一支 ABAP 程式:它接收本該是格式化資料的上傳檔案,但沒有對內容做清理。攻擊者只要擁有基本讀取權限——不是管理員,只是一個普通登入帳號——就能構造一份內含任意 SQL 指令的檔案,上傳後,這些 SQL 就會以應用伺服器的權限在資料庫引擎上執行。在 SAP BPC,這個引擎掌管整間企業的合併財報、預算、計畫版本。
受影響的產品包括 HANABPC 810、BPC4HANA 300,以及 SAP Business Warehouse 750 到 816 各版本。幾乎涵蓋所有還在用現代 SAP 財務架構的企業。
為什麼這支漏洞特別值得關注?
每個月都會有新 CVE,CVE-2026-27681 之所以值得寫,是因為三件事同時成立。
第一,攻擊只需要低權限。這不是遠端未認證的漏洞,但在動輒上千使用者的企業裡,拿到一個低權限帳號只需要一封釣魚郵件、一次 credential stuffing,或是某個供應商被突破。真正重要的權限邊界,是從一般使用者升級到資料庫 root——而這支漏洞正好把這條邊界打穿。
第二,攻擊目標是財務核心。這不是網頁被改首頁,而是可能被竄改合併數字、刪除計畫版本、外流企業最敏感的預測資料,而且可能不會被發現——因為 SQL 直接在引擎層執行,會繞過 SAP 一般的稽核軌跡。
第三,ABAP 的安全研究遠比 Web 少。ABAP 沒有 Burp Suite,SAP 紅隊人才池只是一般滲透測試人才的一小部分。這種不對稱,正是這類漏洞可以長期潛伏的原因。
修補的現實問題
SAP 確認尚未發現實際被利用的案例,修補檔已可用(Note 3719353)。但對 SAP 環境而言,「有 patch」和「已上 patch」往往是數個月的差距。生產環境的變更窗口以季為單位、每個模組都要回歸測試、業務單位在財務結算期絕不願意接受停機。
攻擊者很清楚這件事。歷史上,SAP 專屬的攻擊套件通常在公開通告 30 到 90 天後浮現。時鐘已經開始跑了。
我的看法
我跟夠多企業資安團隊合作過,知道第一反應常是:「這是 SAP 團隊的問題,不是我的問題。」攻擊者賭的就是這種反射性分工。SAP 系統跟身份驗證基礎設施、檔案共享、郵件、服務台全都接在一起——幾乎囊括典型企業攻擊路徑的所有上游節點。SAP BPC 拿到 9.9,從來就不只是一份 SAP 的通告,而是一份偽裝成 SAP Logo 的董事會級營運風險警訊。
2026 年到目前為止最清楚的一課是:軟體供應鏈風險、AI 程式碼風險、企業應用風險,正在合流。一封釣魚郵件拿到憑證;憑證換到一個 SAP 對話使用者;那個使用者上傳一個攻擊檔案;攻擊者就擁有了整本總帳。零日漏洞?不需要。
如果你的組織正在跑 SAP BPC、卻還沒套用 Note 3719353,請先停下來把這件事做完,再回來問自己:還有哪些事,是因為「別人的問題」而一直延後?