米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は6月8日(米国時間)、「SAP Releases June 2021 Security Updates|CISA」において、SAPが2021年4月の月例セキュリティパッチをリリースしたことを伝えた。このリリースにはリモートコード実行や不適切な認証、メモリ破損、不正な情報開示、クロスサイトスクリプティングなどに関連する、計19件の脆弱性の修正が含まれている。

SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年6月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。

  • SAP Security Patch Day – June 2021 - Product Security Response at SAP

    SAP Security Patch Day – June 2021 - Product Security Response at SAP

リストに挙げられている19件の脆弱性のうち、次の2件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。

  • CVE-2021-27602: SAP Commerceにおけるリモートコード実行の脆弱性
  • CVE-2021-27610: SAP NetWeaver ABAP ServerおよびABAP Platformにおける不適切な認証

脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2021-27602が9.9、CVE-2021-27610が9となっている。その他には、優先度「高(Hight)」の脆弱性が4件、「中(Medium)」の脆弱性が13件という内訳になっている。