エンタープライズソフトウェアメーカーのSAPは火曜日、15件の新しいセキュリティノートを公開しました。そのうち4件は、NetWeaver、Commerce、Data Hubにおける重大な深刻度の脆弱性を修正するものです。
修正された脆弱性の中で最も深刻なのはCVE-2026-44748(CVSSスコア9.9)で、NetWeaver AS ABAPおよびABAPプラットフォームのSAML認証におけるXML署名ラッピングの問題として説明されています。
アプリケーションセキュリティ企業のOnapsisは、通常の権限を持つ認証済み攻撃者が「有効な署名済みメッセージを取得し、改ざんされたID情報を含む変更済みの署名付きXMLドキュメントを検証者に送信できる」と説明しています。
このセキュリティ上の欠陥により、改ざんされたID情報が受け入れられてしまいます。その結果、攻撃者は機密ユーザーデータへのアクセスを得るとともに、通常のシステム利用を妨害できる可能性があります。
Onapsisによれば、SAML認証を無効化することで一時的な緩和策となります。
SAPの2026年6月セキュリティパッチデーで修正された2つ目の重大な脆弱性は、CVE-2026-27671(CVSSスコア9.8)で、NetWeaverおよびABAPプラットフォームにおけるメモリ破損の問題です。
この脆弱性は、SAPカーネルがRFCプロトコルを適切に検証しないことに起因しており、未認証の攻撃者がメモリ管理のロジックエラーを狙った細工済みリクエストを送信できます。
Commerce CloudとData Hubに影響する3つ目の重大な脆弱性は、今週SAPが修正したCVE-2026-22732(CVSSスコア9.1)で、Spring Securityフレームワークに依存するすべてのアプリケーションに影響します。
NISTのアドバイザリには「Spring Securityを使用してサーブレットアプリケーションのHTTPレスポンスヘッダーをアプリケーションが指定する際、HTTPヘッダーが書き込まれない可能性がある」と記載されています。
SAPは火曜日、NetWeaver Application Server Java(Webコンテナ)における重大なディレクトリトラバーサルの脆弱性も修正しました。
CVE-2026-40128(CVSSスコア9.0)として追跡されているこの問題は、未認証の攻撃者が悪意のあるHTTPログオンリクエストを送信し、ファイルインクルードパラメーターを操作することで、機密情報へのアクセスやサービス拒否(DoS)状態を引き起こすことを可能にします。
また火曜日には、Commerce Cloudにおける複数のApache Tomcatの欠陥を修正する高深刻度のセキュリティノートと、NetWeaverおよびABAPプラットフォームにおける認可チェック欠如に対処するセキュリティノートも公開されました。
翻訳元: https://www.securityweek.com/sap-patches-critical-netweaver-commerce-vulnerabilities/
