SAPが2026年7月のパッチデーで、NetWeaver・Approuter・Commerce Cloudの深刻な脆弱性を修正

SAPの2026年7月セキュリティパッチデーでは、SAP NetWeaver Application Server ABAPにおける深刻なメモリ破損の問題をはじめ、複数の主要製品にわたる影響度の高い脆弱性が修正されています

セキュリティ製品・サービス

最も深刻な脆弱性はCVE-2026-44747として追跡されており、CVSSスコアは9.9で、NetWeaver AS ABAPが使用する複数のSAPカーネルリリースに影響します。

SAPはこの問題をメモリ破損に分類しています。低権限の攻撃者がリモートからこの脆弱性を悪用できる可能性があり、影響を受ける環境の機密性・完全性・可用性が損なわれるおそれがあります。

SAP 2026年7月パッチデー

組織はCVE-2026-27690にも優先的に対応すべきです。これはSAP AppRouterのバージョン20.10より前に存在する、深刻なHTTPリクエストスマグリングの脆弱性です。

この問題のCVSSスコアは9.1で、認証なしにリモートから悪用可能です。リクエストスマグリングの脆弱性は、攻撃者がフロントエンドのプロキシとバックエンドアプリケーション間の通信を混乱させ、セキュリティ制御を回避したり機密性の高いリクエストを露出させたりする可能性があります。

もう一つの深刻な脆弱性はCVE-2026-44761で、SAP Commerce CloudのHY_COM 2205、COM_CLOUD 2211、2211-JDK21の各バージョンに影響します。

この脆弱性は安全でないサンプル認証情報に起因するもので、CVSSスコアは9.1です。デフォルトまたはサンプルの認証情報は、公開されているサービスの設定が不適切な場合、攻撃者にとって格好の侵入口となり得ます。

さらにSAPは、SAP NetWeaver AS Java Webコンテナに存在する深刻なディレクトリトラバーサルの脆弱性であるCVE-2026-40128について、6月のアドバイザリを更新しました。この脆弱性もCVSSスコアが9.0で、ENGINEAPIバージョン7.50に影響します。

CVEの詳細

CVE 製品・コンポーネント 脆弱性 深刻度 CVSS
CVE-2026-44747 SAP NetWeaver AS ABAP メモリ破損 Critical 9.99.99.9
CVE-2026-27690 SAP Approuter HTTPリクエストスマグリング Critical 9.19.19.1
CVE-2026-44761 SAP Commerce Cloud 安全でないサンプル認証情報 Critical 9.19.19.1
CVE-2026-40128 SAP NetWeaver AS Java ディレクトリトラバーサル Critical 9.09.09.0
CVE-2026-40860 SAP Integration Suite Edge Integration Cell 複数のApache Camel脆弱性 High 8.88.88.8
CVE-2026-40453 SAP Integration Suite内のApache Camel サードパーティコンポーネントの欠陥 High 8.88.88.8
CVE-2026-33454 SAP Integration Suite内のApache Camel サードパーティコンポーネントの欠陥 High 8.88.88.8
CVE-2026-0487 SAProuter for Windows DLLハイジャッキング High 8.48.48.4
CVE-2026-44752 SAP NetWeaver AS Java Configuration Wizard クロスサイトスクリプティング High 8.28.28.2
CVE-2026-44745 SAP Approuter オープンリダイレクト High 8.18.18.1
CVE-2026-43512 SAP Commerce Cloud内のApache Tomcat 複数のコンポーネント脆弱性 High 8.18.18.1
CVE-2026-41293 SAP Commerce Cloud内のApache Tomcat 複数のコンポーネント脆弱性 High 8.18.18.1
CVE-2026-43515 SAP Commerce Cloud内のApache Tomcat 複数のコンポーネント脆弱性 High 8.18.18.1
CVE-2026-58233 SAP ctsattach リモートコード実行 High 7.67.67.6
CVE-2026-44759 SAP NetWeaver Enterprise Portal クロスサイトスクリプティング Medium 6.16.16.1
CVE-2026-44767 UI5 webcomponents-base 許可リストのバイパス/クロスオリジンCSSインジェクション Medium 6.16.16.1
CVE-2026-44769 SAP S/4HANA Project Management SQLインジェクション Medium 5.55.55.5
CVE-2026-44760 SAP NetWeaver AS ABAP クロスサイトスクリプティング Medium 4.74.74.7
CVE-2026-44771 SAP S/4HANA Draft Operation 認可チェックの欠如 Medium 4.34.34.3
CVE-2026-44770 SAP S/4HANA Create Single Payment 認可チェックの欠如 Medium 4.34.34.3
CVE-2026-24315 SAP Fiori Launchpad パストラバーサル Medium 4.24.24.2
CVE-2026-44768 SAP CRM WebClient UI セキュリティの設定不備 Medium 4.14.14.1
CVE-2026-44753 SAP HANA XS Classic 情報漏洩 Low 3.73.73.7
CVE-2025-68161 SAP NetWeaver AS Java/Apache Log4j サードパーティライブラリの脆弱性の可能性 Low 3.33.33.3

管理者は該当するSAPセキュリティノートを確認し、影響を受けるバージョンを特定した上で、SAPの修正プログラムを優先的に適用する必要があります。特に、インターネットに公開されたApprouterの導入環境、Commerce Cloudのインストール環境、NetWeaverシステム、Windows上で稼働するSAProuterインスタンスについては重点的に評価すべきです。

これと並行して、組織はサンプルアカウントを削除し、露出した認証情報をローテーションし、リバースプロキシの設定を検証するとともに、不審なリクエストや不正な活動がないかSAPのログを監視する必要があります。

Windows、Linux、macOSの仮想マシン内でサイバー脅威と実際にやり取りし、攻撃チェーン全体を発生させる - ANY RUNでマルウェアとフィッシングを分析

ハッキング&クラッキング

翻訳元: https://gbhackers.com/sap-july-2026-patch-day-fixes-vulnerabilities/

ソース: gbhackers.com