CVE-2026-0491 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SAP Landscape Transformation 存在**代码注入**漏洞。 💥 **后果**：攻击者可注入任意 **ABAP 代码**或 **OS 命令**，导致**系统完全被破解**。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：通过 **RFC** 暴露的函数模块，未正确过滤或验证输入，允许恶意代码执行。

🏢 **厂商**：SAP_SE。 📦 **产品**：**SAP Landscape Transformation**（用于系统数据迁移与整合的工具）。

👑 **权限**：绕过**授权检查**，获得**完全控制权**。 📂 **数据**：可执行任意命令，导致**机密性、完整性、可用性**全部丧失（C/I/A 均为 High）。

🔑 **认证**：需要 **PR:H**（高权限/认证用户）。 🌐 **网络**：**AV:N**（网络可攻击）。 ⚡ **复杂度**：**AC:L**（低复杂度），利用门槛相对较低，但需合法凭证。

📜 **PoC**：数据中 **pocs** 为空，暂无公开现成 Exp。 🌍 **在野**：未提及在野利用情况，但 CVSS 评分极高，风险巨大。

🔎 **自查**：检查是否运行 **SAP Landscape Transformation**。 📡 **扫描**：检测 **RFC** 接口是否暴露敏感函数模块，并验证是否存在代码注入特征。

🛡️ **官方修复**：已发布安全公告。 📄 **参考**：SAP Note **3697979** 及 SAP 安全补丁日页面。请立即查阅并应用补丁。

🚧 **临时规避**：若无补丁，需**限制 RFC 访问**，最小化暴露面。 🔒 **权限**：严格管控拥有高权限的用户账户，防止凭证泄露被利用。

🔥 **优先级**：**极高**。 📊 **CVSS**：**9.8**（Critical）。 ⚠️ **建议**：立即修补！该漏洞允许绕过授权并执行系统命令，属于**高危紧急**修复项。