SAPの2026年7月セキュリティパッチデーでは、SAP NetWeaver Application Server ABAPにおける深刻なメモリ破損の問題をはじめ、複数の主要製品にわたる影響度の高い脆弱性が修正されています。
セキュリティ製品・サービス
最も深刻な脆弱性はCVE-2026-44747として追跡されており、CVSSスコアは9.9で、NetWeaver AS ABAPが使用する複数のSAPカーネルリリースに影響します。
SAPはこの問題をメモリ破損に分類しています。低権限の攻撃者がリモートからこの脆弱性を悪用できる可能性があり、影響を受ける環境の機密性・完全性・可用性が損なわれるおそれがあります。
SAP 2026年7月パッチデー
組織はCVE-2026-27690にも優先的に対応すべきです。これはSAP AppRouterのバージョン20.10より前に存在する、深刻なHTTPリクエストスマグリングの脆弱性です。
この問題のCVSSスコアは9.1で、認証なしにリモートから悪用可能です。リクエストスマグリングの脆弱性は、攻撃者がフロントエンドのプロキシとバックエンドアプリケーション間の通信を混乱させ、セキュリティ制御を回避したり機密性の高いリクエストを露出させたりする可能性があります。
もう一つの深刻な脆弱性はCVE-2026-44761で、SAP Commerce CloudのHY_COM 2205、COM_CLOUD 2211、2211-JDK21の各バージョンに影響します。
この脆弱性は安全でないサンプル認証情報に起因するもので、CVSSスコアは9.1です。デフォルトまたはサンプルの認証情報は、公開されているサービスの設定が不適切な場合、攻撃者にとって格好の侵入口となり得ます。
さらにSAPは、SAP NetWeaver AS Java Webコンテナに存在する深刻なディレクトリトラバーサルの脆弱性であるCVE-2026-40128について、6月のアドバイザリを更新しました。この脆弱性もCVSSスコアが9.0で、ENGINEAPIバージョン7.50に影響します。
CVEの詳細
| CVE | 製品・コンポーネント | 脆弱性 | 深刻度 | CVSS |
|---|---|---|---|---|
| CVE-2026-44747 | SAP NetWeaver AS ABAP | メモリ破損 | Critical | 9.9 |
| CVE-2026-27690 | SAP Approuter | HTTPリクエストスマグリング | Critical | 9.1 |
| CVE-2026-44761 | SAP Commerce Cloud | 安全でないサンプル認証情報 | Critical | 9.1 |
| CVE-2026-40128 | SAP NetWeaver AS Java | ディレクトリトラバーサル | Critical | 9.0 |
| CVE-2026-40860 | SAP Integration Suite Edge Integration Cell | 複数のApache Camel脆弱性 | High | 8.8 |
| CVE-2026-40453 | SAP Integration Suite内のApache Camel | サードパーティコンポーネントの欠陥 | High | 8.8 |
| CVE-2026-33454 | SAP Integration Suite内のApache Camel | サードパーティコンポーネントの欠陥 | High | 8.8 |
| CVE-2026-0487 | SAProuter for Windows | DLLハイジャッキング | High | 8.4 |
| CVE-2026-44752 | SAP NetWeaver AS Java Configuration Wizard | クロスサイトスクリプティング | High | 8.2 |
| CVE-2026-44745 | SAP Approuter | オープンリダイレクト | High | 8.1 |
| CVE-2026-43512 | SAP Commerce Cloud内のApache Tomcat | 複数のコンポーネント脆弱性 | High | 8.1 |
| CVE-2026-41293 | SAP Commerce Cloud内のApache Tomcat | 複数のコンポーネント脆弱性 | High | 8.1 |
| CVE-2026-43515 | SAP Commerce Cloud内のApache Tomcat | 複数のコンポーネント脆弱性 | High | 8.1 |
| CVE-2026-58233 | SAP ctsattach | リモートコード実行 | High | 7.6 |
| CVE-2026-44759 | SAP NetWeaver Enterprise Portal | クロスサイトスクリプティング | Medium | 6.1 |
| CVE-2026-44767 | UI5 webcomponents-base | 許可リストのバイパス/クロスオリジンCSSインジェクション | Medium | 6.1 |
| CVE-2026-44769 | SAP S/4HANA Project Management | SQLインジェクション | Medium | 5.5 |
| CVE-2026-44760 | SAP NetWeaver AS ABAP | クロスサイトスクリプティング | Medium | 4.7 |
| CVE-2026-44771 | SAP S/4HANA Draft Operation | 認可チェックの欠如 | Medium | 4.3 |
| CVE-2026-44770 | SAP S/4HANA Create Single Payment | 認可チェックの欠如 | Medium | 4.3 |
| CVE-2026-24315 | SAP Fiori Launchpad | パストラバーサル | Medium | 4.2 |
| CVE-2026-44768 | SAP CRM WebClient UI | セキュリティの設定不備 | Medium | 4.1 |
| CVE-2026-44753 | SAP HANA XS Classic | 情報漏洩 | Low | 3.7 |
| CVE-2025-68161 | SAP NetWeaver AS Java/Apache Log4j | サードパーティライブラリの脆弱性の可能性 | Low | 3.3 |
管理者は該当するSAPセキュリティノートを確認し、影響を受けるバージョンを特定した上で、SAPの修正プログラムを優先的に適用する必要があります。特に、インターネットに公開されたApprouterの導入環境、Commerce Cloudのインストール環境、NetWeaverシステム、Windows上で稼働するSAProuterインスタンスについては重点的に評価すべきです。
これと並行して、組織はサンプルアカウントを削除し、露出した認証情報をローテーションし、リバースプロキシの設定を検証するとともに、不審なリクエストや不正な活動がないかSAPのログを監視する必要があります。
Windows、Linux、macOSの仮想マシン内でサイバー脅威と実際にやり取りし、攻撃チェーン全体を発生させる - ANY RUNでマルウェアとフィッシングを分析
ハッキング&クラッキング
翻訳元: https://gbhackers.com/sap-july-2026-patch-day-fixes-vulnerabilities/