SAP于3月10日发布本月例行更新（安全补丁日），共修复15个安全漏洞，其中重大等级2个、高风险1个，其余为中度及低风险漏洞。

其中，重大漏洞CVE-2019-17571尤为特殊，影响SAP的报价管理相关应用系统Quotation Management Insurance（FS-QUO）。该代码注入漏洞源于系统所使用的Log4j组件，其SocketServer类在处理不受信任的数据时存在反序列化问题。攻击者可在反序列化小工具（Gadget）通过监听不受信任的网络流量时，利用该漏洞执行任意代码。该漏洞的CVSS风险评分高达9.8分（满分10分）。值得注意的是，该漏洞影响Log4j 1.2至1.2.17版本（2012年发布），表明FS-QUO所采用的组件版本极为陈旧。

另一个重大漏洞是CVE-2026-27685，出现在NetWeaver的企业门户管理平台（Enterprise Portal Administration），同样与反序列化有关。具备特定权限的攻击者可上传恶意或不受信任的内容，从而触发该漏洞，CVSS风险评分为9.1分，严重性极高。长期关注并参与SAP每月补丁更新的安全公司Onapsis指出，若攻击者无需预先获取高权限即可利用该漏洞，其风险评分可能升至最高的10分。

本次唯一的高风险漏洞CVE-2026-27689也值得关注，影响SAP的供应链管理系统，属于拒绝服务（DoS）类型漏洞。攻击者可通过反复调用由超大循环控制参数的特定功能模块，耗尽系统资源，导致服务中断，风险评分为7.7。