SAPは2026年7月14日、2026年7月度セキュリティパッチデーをリリースし、新たに16件のセキュリティ問題を修正するとともに、既存のノート3件を更新しました。中でも上位に位置づけられるのが、NetWeaverとAppRouterに存在する2件の重大な脆弱性です。
最も深刻な問題はCVE-2026-44747として追跡されており、CVSSスコアは最大値の9.9を記録しています。これはSAP NetWeaver Application Server ABAPにおけるメモリ破損の脆弱性です。
SAPのアドバイザリによると、この欠陥は攻撃者がメモリ管理におけるロジックエラーを悪用することを可能にし、影響を受けるカーネルバージョン上でメモリ破損を引き起こすとしています。
この脆弱性はKRNL64NUCおよびKRNL64UCの7.22から7.22EXT、そしてKERNELの7.22から9.20まで、幅広いカーネルリリースに及んでおり、レガシー環境と現行のNetWeaver環境の双方に関係します。
この深刻度評価を踏まえると、該当するカーネルバージョンを稼働させている組織は、SAP Note 3747367を通じたパッチ適用を最優先で進める必要があります。
2件目の重大な脆弱性であるCVE-2026-27690(CVSS 9.1)は、バージョン20.10.0より前のSAP Approuter node.jsパッケージに影響し、HTTPリクエストスマグリングを可能にします。
Approuterは多くのSAP BTPおよびCloud Foundryアプリケーション環境の最前線に位置し、受信したリクエストをバックエンドのマイクロサービスへとルーティングする役割を担っています。そのため、この部分でのスマグリング攻撃は、悪意ある攻撃者が認証層を回避したり、下流のキャッシュを汚染したりすることを許してしまう恐れがあります。
SAPはまた、SAP Commerce Cloud(CVE-2026-44761、CVSS 9.1)における安全性の低いサンプル認証情報の問題も修正しました。これはHY_COM 2205およびCOM_CLOUD 2211のリリースに影響します。
高優先度のノートの中では、Windows版SAProuterにおけるDLLハイジャックの脆弱性(CVE-2026-0487、CVSS 8.4)と、SAP Integration SuiteのEdge Integration Cell内に存在する複数のApache Camelの脆弱性(CVE-2026-40860、CVSS 8.8)が、広範な悪用可能性という点で際立っています。
Change and Transport System Attach Toolに存在するRCE(リモートコード実行)の脆弱性(CVE-2026-58233、CVSS 7.6)と、Commerce Cloudに同梱される複数のApache Tomcatの脆弱性(CVSS 8.1)も、高深刻度の修正項目に含まれています。
今回のサイクルでは、過去に発行された3件のセキュリティノートも更新されました。NetWeaver AS JavaのWeb Containerにおける2026年6月のディレクトリトラバーサルの脆弱性(CVE-2026-40128、CVSS 9.0)を扱うSAP Note 3727078が改訂されたほか、SAP Fioriランチパッドのパストラバーサルに関するノート(CVE-2026-24315)、そしてNetWeaver AS Javaで使用されているApache Log4jライブラリに対応するノート(CVE-2025-68161)も更新されています。
残りのノートは、S/4HANA、SAP CRM WebClient UI、NetWeaver Enterprise Portalにまたがる、XSS、SQLインジェクション、認可の欠落といった問題の組み合わせを扱っており、いずれも深刻度は「中」または「低」に評価されています。
注目すべき項目として、GHSA-p8gx-753q-v89pが挙げられます。これはCVE-2026-44767に関するGitHubのセキュリティアドバイザリで、ui5/webcomponents-baseのsetThemeRoot()関数におけるアローリスト回避の問題であり、クロスオリジンでのCSSインジェクションを可能にするものです。
SAPのアドバイザリによると、コアインフラコンポーネントに影響を及ぼす、ネットワーク経由で悪用可能な重大な脆弱性が複数含まれていることを踏まえ、顧客に対してSAP Support Portalを通じて速やかにこれらのパッチを適用するよう強く推奨しています。
翻訳元: https://cyberpress.org/sap-july-2026-patch-day-fixes/