米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「SAP Releases November 2021 Security Updates|CISA」において、SAPが2021年11月の月例セキュリティパッチをリリースしたと伝えた。このリリースには権限/認証チェックの不備や資格情報のハードコーディング、情報開示などに関する7件の脆弱性の修正が含まれている。

SAPでは毎月第2火曜日に「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2021年11月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。

リストに挙げられている7件の脆弱性のうち、次の1件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。

  • CVE-2021-40501: SAP ABAP Platform Kernelにおける認証チェックの不備

また、次の2件の脆弱性は優先度「高(High)」に分類されている。

  • CVE-2021-40502: SAP Commerceにおける認証チェックの不備
  • CVE-2020-6369: CA Introscope Enterprise Managerにおける資格情報のハードコーディング(SAP Solution ManagerおよびSAP Focusedが影響を受ける)
  • SAP Security Patch Day – November 2021 - Product Security Response at SAP

    SAP Security Patch Day – November 2021 - Product Security Response at SAP