SAP于2月10日发布本月例行安全更新（Security Patch Day），共修补26个安全漏洞，按危险程度分为：2个严重漏洞、7个高风险漏洞、15个中风险漏洞和2个低风险漏洞。上个月披露的一个中风险漏洞，SAP也在本次安全公告中更新了相关说明。

本次修补的严重漏洞为CVE-2026-0488与CVE-2026-0509，分别影响SAP CRM与S/4HANA，以及NetWeaver Application Server ABAP与ABAP平台。

根据CVSS风险评分，最危险的是得分为9.9的CVE-2026-0488，这是一个代码注入漏洞。经过身份验证的攻击者可在SAP CRM或S/4HANA的脚本编辑器中触发该漏洞，通过特定通用功能模块调用并执行未经授权的关键功能，从而执行任意SQL语句。长期关注并参与SAP系统漏洞修复的安全公司Onapsis指出，若漏洞被成功利用，将导致数据库完全被攻陷。为此，SAP已在受影响的通用功能模块调用机制中增加了允许列表检查机制作为应对措施。若IT人员无法及时应用补丁，应暂时停用受影响的ICF服务。

另一个严重漏洞CVE-2026-0509源于缺乏权限检查，低权限攻击者在特定情况下无需S_RFC授权即可执行后台远程功能调用，CVSS风险评分为9.6。Onapsis表示，修复此漏洞需要实施核心升级，并设置一组配置文件参数。为避免影响业务流程，可能需要调整用户角色和统一连接框架（Unified Connectivity Framework，UCON）的配置。