4月14日，SAP发布了本月例行安全补丁更新（Security Patch Day），共披露19个安全漏洞，其中包括1个严重等级、1个高风险等级，其余为中低风险等级。

根据CVSS风险评分，最危险的是SQL注入漏洞CVE-2026-27681，影响业务规划与合并财务报表系统SAP Business Planning and Consolidation（SAP BPC）以及企业数据仓库系统SAP Business Warehouse（SAP BW），CVSS评分为9.9分（满分10分），属严重等级。该漏洞的成因在于上述系统的权限检查不充分，经过身份验证的攻击者可执行指定的SQL语句，从而读取、篡改或删除数据库内容。

长期关注并参与SAP漏洞修复的安全公司Onapsis对此漏洞作出说明：低权限攻击者只需上传包含任意SQL语句的文件，SAP BPC与SAP BW的ABAP程序便会执行。SAP已在受影响的应用程序中禁用可执行代码以缓解该漏洞。若IT人员无法及时安装补丁，Onapsis建议可从用户账号中移除S_GUI授权对象的上传权限。但该公司强调，此临时缓解措施可能影响其他应用程序的功能，且鉴于漏洞严重性，仍强烈建议IT人员尽快应用更新。