エンタープライズソフトウェア大手のSAPは火曜日、2026年7月のセキュリティパッチデーの一環として、19件の新規・更新セキュリティノートを公開しました。
修正された脆弱性の中で最も深刻なのは、CVE-2026-44747(CVSSスコア9.9)で、NetWeaver Application Server ABAPに存在するメモリ破損の不具合です。
SAPセキュリティ企業のOnapsisによると、この脆弱性が悪用された場合、攻撃者にデータへのアクセスおよび改ざんを許し、システムの停止を引き起こす可能性があるとしています。
SAPの顧客に対しては、最新パッチを適用してこの欠陥を解消するよう強く推奨されていますが、暫定的な回避策として「トランザクションSICFで特定のプロパティを持つすべてのICFノードを無効化する」ことも可能です。
SAPの2026年7月セキュリティパッチデーで公開された2番目のセキュリティノートは、Approuterに存在する深刻なHTTPリクエストスマグリングの問題を修正するもので、CVE-2026-27690(CVSSスコア9.1)として追跡されています。
「この脆弱性は非Cloud Foundry環境におけるSAP Approuterの導入に影響し、認証を経ていない攻撃者が特別に細工したHTTPリクエストを送信することで、リクエストとレスポンスの非同期化を引き起こすことを可能にします」とOnapsisは説明しています。
Commerce Cloudでも、もう一つの深刻な脆弱性が修正されました。CVE-2026-44761(CVSSスコア9.1)として追跡されているこの脆弱性は、ハードコードされた認証情報の問題であり、不正なデータアクセスおよび改ざんにつながる可能性があります。
この不具合は、開発・テスト用にSAP Helpポータルで以前提供されていたサンプル設定スクリプトに関連するもので、既知の認証情報を使ってOAuth2クライアントを構成する内容となっています。
認証を経ていない攻撃者はこれらの認証情報を悪用してアクセストークンを取得し、特定のAPIを呼び出すことが可能になります。これにより、攻撃者はシステムデータの読み取りや改ざんができてしまいます。
「悪用が成立するには、顧客がサンプルスクリプトを実行し、生成されたOAuth2クライアントをハードコードされたシークレットを置き換えないまま本番環境に残しておく必要があります。サンプルクライアントを削除した、またはシークレットを強力で一意な値に置き換えた顧客は影響を受けません」とOnapsisは指摘しています。
Commerce Cloudに関するSAPの従来のドキュメントには、デフォルト設定を本番環境にインポートしないよう顧客に警告する記載がありませんでした。今回のノートはこの不備に対応するものですが、顧客に対しては、サンプルのOAuth2クライアントにハードコードされた認証情報が残っていないか、本番環境を監査するよう推奨されています。
火曜日にはSAPはまた、6月に最初にパッチが適用された深刻なNetWeaverの脆弱性に関するセキュリティノートを更新し、追加パッケージへの対応を提供しました。
さらに同社は、Integration Suite(Edge Integration Cell)、SAProuter、NetWeaver Application Server Java(Configuration Wizard)、Approuter、Commerce Cloud、およびChange and Transport System Attach Tool(ctsattach)にまたがる深刻度「高」のセキュリティ上の欠陥に対応する、6件のセキュリティノートを公開しました。
Integration SuiteおよびCommerce Cloud向けのノートには、複数のApache CamelおよびApache Tomcatのセキュリティ不具合に対するパッチが含まれています。
SAPの2026年7月セキュリティパッチデーで公開された残りの新規・更新ノートは、NetWeaver、S/4HANA、Fiori、CRM、およびHANA Extended Application Services Classic Modelにまたがる深刻度「中」および「低」の不具合に対応するものです。