1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. SAPが2026年5月のセキュリティパッチを公開、S/4HANAとCommerce CloudのCritical脆弱性を修正(CVE-2026-34260)

SAPが2026年5月のセキュリティパッチを公開、S/4HANAとCommerce CloudのCritical脆弱性を修正(CVE-2026-34260)

セキュリティニュース

投稿日時: 更新日時:

SAPが2026年5月のセキュリティパッチを公開、S/4HANAとCommerce CloudのCritical脆弱性を修正(CVE-2026-34260)

SAPは2026年5月のSecurity Patch Dayで15件の新規Security Noteを公開しました。SAP S/4HANAのSQLインジェクション脆弱性CVE-2026-34260と、SAP Commerce Cloudの認証不備CVE-2026-34263はいずれもCVSS 9.6のCriticalです。影響製品、優先対応すべき脆弱性、情報システム部門が確認すべき対策を解説します。

【サマリー】

  • SAPは2026年5月12日、2026年5月のSecurity Patch Dayとして15件の新規Security Noteを公開しました。
  • 今回の更新では、CVSS 9.6のCritical脆弱性が2件公表されています。
  • 1件目は、SAP S/4HANAのSAP Enterprise Search for ABAPに存在するSQLインジェクション脆弱性CVE-2026-34260です。
  • 2件目は、SAP Commerce Cloudの設定機能における認証チェック不備CVE-2026-34263です。
  • Highに分類される脆弱性として、SAP Forecasting & ReplenishmentのOSコマンドインジェクションCVE-2026-34259も修正されています。
  • そのほか、SAP NetWeaver Application Server for ABAP、SAP BusinessObjects Business Intelligence Platform、SAPUI5、SAP HANA Deployment Infrastructureなど複数製品の脆弱性が修正対象です。

SAPが2026年5月のSecurity Patch Dayを公開

SAPは2026年5月12日、2026年5月のSecurity Patch Dayとして15件の新規Security Noteを公開しました。SAPは顧客に対し、SAP Support Portalを確認し、SAP環境を保護するため優先的にパッチを適用するよう呼びかけています。

今回の更新で特に重要なのは、CVSS 9.6のCritical脆弱性が2件含まれている点です。対象は、SAP S/4HANAのSAP Enterprise Search for ABAPと、SAP Commerce Cloudです。いずれも企業の基幹業務や商取引に関わる製品であり、影響環境では早急な確認が必要です。

SecurityOnlineも本件について、SAPが2026年5月の月例セキュリティ更新で15件の新規Security Noteを公開し、S/4HANAとCommerce CloudのCritical脆弱性を修正したと報じています。ただし、脆弱性の正式な影響範囲やCVSSはSAP公式のSecurity Patch Day情報を基準に確認する必要があります。

最も優先すべきCVE-2026-34260

CVE-2026-34260は、SAP S/4HANAのSAP Enterprise Search for ABAPに存在するSQLインジェクション脆弱性です。SAP公式情報では、対象バージョンはSAP_BASIS 751、752、753、754、755、756、757、758、816とされています。重要度はCritical、CVSSは9.6です。

SQLインジェクションは、アプリケーションが利用者入力を適切に検証・無害化しないままSQL文へ組み込むことで発生します。S/4HANAはERPの中核として利用されることが多く、検索機能に関わる脆弱性であっても、背後にある業務データベースへの影響を軽視できません。

公表情報では、認証済み攻撃者が悪意あるSQL文を注入できる可能性が示されています。したがって、外部から誰でも悪用できる未認証RCEとは性質が異なりますが、SAP利用者アカウントが侵害された場合や、低権限アカウントが悪用された場合の被害拡大につながる恐れがあります。

SAP Commerce CloudのCVE-2026-34263もCritical

CVE-2026-34263は、SAP Commerce Cloudの設定機能における認証チェック不備です。SAP公式情報では、対象バージョンはHY_COM 2205、COM_CLOUD 2211、2211-JDK21とされています。重要度はCritical、CVSSは9.6です。

SecurityOnlineは、Spring Securityの設定不備により、未認証ユーザーが悪意ある設定をアップロードし、コードインジェクションを実行できる可能性があると説明しています。SAP公式ページ上の一覧では、脆弱性名はMissing authentication check in SAP Commerce cloud configurationとされています。

Commerce Cloudは、企業のEC、販売、顧客接点に関わる基盤として利用されます。未認証で設定機能に到達できる類の脆弱性は、公開Webアプリケーションとしてインターネットから到達可能な構成ほどリスクが高くなります。該当環境では、パッチ適用だけでなく、外部公開範囲や管理インターフェースの到達制御も確認すべきです。

HighのCVE-2026-34259にも注意

CVE-2026-34259は、SAP Forecasting & Replenishmentに存在するOSコマンドインジェクション脆弱性です。SAP公式情報では、対象バージョンはSCM 702、712、713、714で、CVSSは8.2、重要度はHighです。

CVE情報では、管理者権限を持つ認証済み攻撃者が非リモート有効の関数を悪用し、任意のOSコマンドを実行できる可能性があると説明されています。悪用に管理者権限が必要とされるため、Critical 2件より優先度が下がる場合はありますが、悪用に成功した場合はシステムデータの読み取り、変更、停止につながる恐れがあります。

SAP Forecasting & Replenishmentは、需要予測や補充計画など業務運用に関わる製品です。停止や改ざんが発生した場合、単なるIT障害ではなく、在庫、発注、供給計画に影響する可能性があります。

その他の修正対象

2026年5月のSecurity Patch Dayでは、CriticalとHigh以外にも、複数のMediumおよびLow脆弱性が修正されています。

SAP NetWeaver Application Server for ABAPおよびABAP Platformでは、OSコマンドインジェクション脆弱性CVE-2026-40135が修正されています。対象はSAP_BASIS 700から816まで広範囲に及び、CVSSは6.5です。

SAP S/4HANA Condition Maintenanceでは、認可チェック不備CVE-2026-40133が修正されています。Business Server Pages ApplicationのTAF_APPLAUNCHERではXSS脆弱性CVE-2026-40137、SAP BusinessObjects Business Intelligence PlatformではCSRF脆弱性CVE-2026-0502が修正されています。

また、SAP Commerce Cloudに関連してApache Log4jの証明書検証不備CVE-2025-68161、SAPUI5のContent Spoofing脆弱性CVE-2026-34258、SAP NetWeaver Application Server ABAPのBSPアプリケーションにおける反射型XSS脆弱性CVE-2026-27682も修正対象です。

実施されます。しかし、今回のCVE-2026-34260とCVE-2026-34263はいずれもCVSS 9.6のCriticalです。通常の月次メンテナンスにまとめるのではなく、影響範囲を確認したうえで優先適用の判断を行う必要があります。

特にS/4HANAは会計、販売、購買、生産、在庫などの基幹業務データを扱います。SQLインジェクションの影響がデータベース参照やアプリケーション可用性に及ぶ場合、機密情報の漏えいや業務停止につながる恐れがあります。

Commerce Cloudは顧客向けサービスやEC基盤として公開されることがあり、認証チェック不備が外部から悪用可能な条件にある場合、攻撃の優先度は高くなります。外部公開システム、顧客データを扱うシステム、決済や注文に関わるシステムは、早期適用を検討すべきです。

パッチ適用前後で確認すべきログ

パッチ適用前には、影響対象システムのアクセスログ、認証ログ、アプリケーションログ、データベースログ、管理者操作ログを保全しておくことが重要です。脆弱性が公表された後は、攻撃者が修正内容を解析し、短期間で悪用を試みる可能性があります。

S/4HANAでは、不審な検索リクエスト、通常と異なるSQLエラー、想定外の大量検索、権限外データへのアクセス試行を確認します。Commerce Cloudでは、設定アップロード、管理機能へのアクセス、未認証リクエスト、異常なHTTPステータス、通常と異なるファイル作成や設定変更を確認すべきです。

パッチ適用後は、対象Security Noteが正しく適用されていること、関連コンポーネントのバージョンが更新されていること、業務機能に影響が出ていないことを確認します。あわせて、パッチ適用前に侵害が発生していなかったかを確認する調査を別作業として実施する必要があります。

出典

SAP Security Patch Day – May 2026

関連記事

SAP 2025年12月セキュリティパッチ-Solution Managerなど3件のクリティカルな脆弱性に注意(CVE-2025-42880,CVE-2025-55754 / CVE-2025-55752,CVE-2025-42928)SAP 2025年12月セキュリティパッチを公開-Solution Managerなど3件のクリティカルな脆弱性に注意(CVE-2025-42880,CVE-2025-55754 / CVE-2025-55752,CVE-2025-42928) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999)SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999) SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887) SAP S4HANAに要即時対応推奨の致命的な脆弱性(CVE-2025-42957)SAP S/4HANAに要即時対応推奨の致命的な脆弱性(CVE-2025-42957) Default ThumbnailSAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688) Googleが「戻るボタンハイジャック」をスパム認定-ユーザー体験が改善Googleが「戻るボタンハイジャック」をスパム認定-ユーザー体験が改善 Adobe CommerceとMagentoに重大な脆弱性-早急なパッチ適用を推奨Adobe CommerceとMagentoに重大な脆弱性-早急なパッチ適用を推奨 LLM データ前処理ライブラリ「unstructured」に深刻な脆弱性(CVE-2025-64712)LLM データ前処理ライブラリ「unstructured」に深刻な脆弱性(CVE-2025-64712)