SAPがNetWeaverとCommerce Cloudの深刻な脆弱性を警告

SAPは2026年7月のセキュリティアップデートの一環として、複数製品にまたがる16件の脆弱性に対処しました。この中には、NetWeaver、Commerce Cloud、AppRouterにおける3件の重大な脆弱性が含まれています。

今月修正された最初の重大な問題は、コアとなるSAPエンタープライズソフトウェアのランタイム環境・アプリケーションサーバー・開発プラットフォームであるNetWeaver Application Server ABAP(AS ABAP)における境界外書き込みの脆弱性に起因するメモリ破損の問題(CVE-2026-44747として追跡)です。

SAPは次のように説明しています。「SAP NetWeaver Application Server ABAPには、認証済みの攻撃者がメモリ管理上の論理エラーを悪用してメモリ破損を引き起こし、不正なデータアクセスやデータ改ざん、システムの利用不能状態を招く恐れがある脆弱性が存在します。これはアプリケーションの機密性、完全性、可用性に大きな影響を及ぼします」

2つ目の脆弱性(CVE-2026-27690)は、同社のBusiness Technology Platform(SAP BTP)上に展開されるクラウドベースアプリ向けのNode.jsベースのミドルウェアライブラリであるSAP ApprouterにおけるHTTPリクエストスマグリングの脆弱性です。

未認証の攻撃者は、細工したHTTPリクエストを用いてこの脆弱性を悪用することで、ユーザーの応答にアクセスしたり、対象システムに対してサービス拒否(DoS)攻撃を仕掛けたりすることが可能です。

本日対処された3つ目の重大な脆弱性(CVE-2026-44761として追跡)は、エンタープライズ向けEコマースプラットフォームであるSAP Commerce Cloudで発見されたもので、デフォルト認証情報に起因しています。この脆弱性により、攻撃者は有効なアクセストークンを取得し、特定のAPIを介してデータを読み取ったり改ざんしたりできてしまいます。

SAPの2026年7月のアドバイザリでは、深刻度「高」の脆弱性6件、「中」の脆弱性7件、「低」の脆弱性1件についても修正内容が挙げられています。これらにはDLLハイジャック、オープンリダイレクト、認可チェックの欠如、リモートコード実行、クロスサイトスクリプティング(XSS)、パストラバーサル、SQLインジェクション、サービス拒否(DoS)、情報漏えい、セキュリティ設定不備が含まれます。

同社は、本日パッチが適用された脆弱性が実際の攻撃で悪用された証拠は今のところ確認していないとしています。ただし、CISAは2021年11月以降、14件のSAPセキュリティ脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しており、その中にはランサムウェアグループに悪用された2件も含まれています。

直近では、SAPは2026年6月のセキュリティパッチパッケージの一環として15件の脆弱性を修正しています。また、攻撃者が公式のSAP npmパッケージ複数を侵害し、サプライチェーン攻撃を通じて開発者のシステムから認証情報を窃取しようとする事件も発生しています。

ドイツに本社を置くこの多国籍ソフトウェア企業は、2025会計年度の総売上高が360億ユーロを超えたと報告しており、世界の大企業上位100社のうち99社にサービスを提供しています。

攻撃者に先んじて、すべてのレイヤーをテストする

セキュリティチームが記録できている攻撃の成功例はわずか54%、アラートが発せられるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/sap-warns-of-critical-flaws-in-netweaver-and-commerce-cloud/

ソース: bleepingcomputer.com