SAPがNetWeaverとCommerce Cloudの重大な脆弱性を修正

SAPは2026年6月のセキュリティパッチパッケージの一環として、SAP NetWeaverおよびSAP Commerce Cloudに影響する4件の重大な脆弱性を含む、計15件の脆弱性に対する修正プログラムをリリースしました。

NetWeaverは、SAPのコアアプリケーションプラットフォームおよびミドルウェアスタックであり、ERPシステムをはじめとする多くのSAPビジネスアプリケーションの基盤を担っています。アプリケーションサービング、統合、認証、ユーザー管理、データ処理といった機能を提供しています。

Commerce Cloud（旧Hybris）は、エンタープライズ向けeコマースプラットフォームです。B2B・B2Cコマース向けに、オンラインストア、デジタル販売チャネル、商品カタログ、顧客アカウント、注文管理システムの構築・運用を可能にします。

今月のセキュリティ情報において、SAPは以下の重大な脆弱性への対処を公表しています。

• CVE-2026-44748（CVSS 9.9）— SAP NetWeaver AS ABAPおよびABAPプラットフォームにおけるXML Signature Wrapping。SAMLベース環境での認証バイパスを可能にする恐れがあります。
• CVE-2026-27671（CVSS 9.8）— SAP NetWeaver/ABAPプラットフォームのApplication Server ABAPにおけるメモリ破壊の脆弱性。
• CVE-2026-22732（CVSS 9.1）— SAP Commerce CloudおよびSAP Data HubにおけるSpring Security関連の脆弱性。
• CVE-2026-40128（CVSS 9.0）— SAP NetWeaver Application Server JavaのWebコンテナにおけるディレクトリトラバーサルの脆弱性。

CVE-2026-44748の説明には、「SAP NetWeaver Application Server ABAPおよびABAPプラットフォームは、通常権限を持つ認証済みの攻撃者が有効な署名済みメッセージを取得し、改ざんされた署名済みXMLドキュメントを検証者に送信することを可能にする」と記されています。

「これにより、改ざんされたアイデンティティ情報が受け入れられ、機密性の高いユーザーデータへの不正アクセスや、通常のシステム利用の妨害につながる可能性があります。」

CVE-2026-27671については、攻撃者は認証なしで悪用が可能です。脆弱なエンドポイントに細工されたRFCリクエストを送信し、カーネルの不適切な検証を突いてメモリ破壊を引き起こします。

上記の重大な脆弱性に加え、SAPは高深刻度の脆弱性2件にも対処しています。CVE-2026-29145はCommerce Cloudに影響する複数のApache Tomcatの不具合をまとめたもので、CVE-2026-44751はNetWeaver AS ABAPにおける認可チェックの欠如の問題です。

このドイツのエンタープライズソフトウェア企業は、複数のSAP製品にわたるSQLインジェクション、パストラバーサル、クロスサイトスクリプティング（XSS）、メールスプーフィング、認可バイパスといった各種問題にも対処しました。

脆弱性の詳細および緩和策・回避策については、セキュリティポータルアカウントを持つSAP顧客のみが参照できます。

影響を受ける製品を使用している組織は、特にSAML認証の脆弱性（CVE-2026-44748）とメモリ破壊の問題（CVE-2026-27671）を優先してパッチを適用してください。これらは深刻度が非常に高く、エンタープライズ環境に重大な影響をもたらす可能性があります。