United States Computer Emergency Readiness Team (US-CERT)は4月13日(米国時間)、「SAP Releases April 2021 Security Updates|CISA」において、SAPが2021年4月の月例セキュリティパッチをリリースしたことを伝えた。このリリースにはリモートコード実行や認証チェックの回避、不正な情報開示、サービス拒否(DoS)、クロスサイトスクリプティングなどに関連する、計19件の脆弱性の修正が含まれている。
SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年4月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。
リストに挙げられている19件の脆弱性のうち、次の3件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- SAP Business ClientにおけるGoogle Chromiumブラウザのアップデート
- [CVE-2021から27602] Source Rules of SAP Commerceにおけるリモートコード実行の脆弱性
- [CVE-2021から21481] SAP NetWeaver AS JAVAにおける認証チェック不備の脆弱性
その他には、優先度「高(Hight)」の脆弱性が5件、「中(Medium)」の脆弱性が11件という内訳になっている。Cybersecurity and Infrastructure Security Agency (CISA)ではユーザーおよび管理者に対し、SAPが提供するセキュリティ情報をチェックした上で、必要に応じてセキュリティパッチを適用することを推奨している。