SAP、2026年7月のセキュリティパッチデーでCVSS 9.9のNetWeaver重大脆弱性を含む16件を修正(CVE-2026-44747, CVE-2026-27690)

セキュリティニュース

投稿日時: 更新日時:

SAP、2026年7月のセキュリティパッチデーでCVSS 9.9のNetWeaver重大脆弱性を含む16件を修正(CVE-2026-44747, CVE-2026-27690)

SAPは2026年7月14日、月例の「Security Patch Day」として新規セキュリティノート16件とGitHubセキュリティアドバイザリ1件、既存ノートの更新3件を公開しました。最も深刻なのは、SAP NetWeaver Application Server ABAPにおけるメモリ破損の脆弱性(CVE-2026-44747、CVSS 9.9)で、SAP Approuterのリクエストスマグリング脆弱性(CVE-2026-27690、CVSS 9.1)、SAP Commerce Cloudの認証情報ハードコーディングに起因する脆弱性(CVE-2026-44761、CVSS 9.1)とあわせて、3件のCritical(緊急)ノートが含まれています。

サマリー

  • SAPは2026年7月14日、月例セキュリティパッチデーとして新規セキュリティノート16件、GitHubセキュリティアドバイザリ1件、既存ノート更新3件を公開した。このうち3件がCritical(緊急)に格付けされている
  • 最も深刻な脆弱性はCVE-2026-44747(CVSS 9.9)で、SAP NetWeaver Application Server ABAPにおけるメモリ破損の脆弱性。認証済みの攻撃者がメモリ管理上の論理的な誤りを悪用し、データへの不正アクセス・改ざん、システム停止を引き起こす恐れがある。対象はKRNL64NUC・KRNL64UC 7.22〜7.22EXT、KERNEL 7.22〜9.20を含む広範なカーネルバージョンで、SAP Note 3747367で修正されている
  • 2件目のCVE-2026-27690(CVSS 9.1)は、SAP Approuter(バージョン20.10.0未満のNode.jsパッケージ)におけるHTTPリクエストスマグリングの脆弱性。非Cloud Foundry環境が対象で、未認証の攻撃者が細工したHTTPリクエストを送信することでリクエスト・レスポンスの非同期化を引き起こせる。Approuterは多くのSAP BTP・Cloud Foundryアプリケーション基盤の入り口に位置し、バックエンドのマイクロサービスへリクエストをルーティングする役割を担うため、認証層の迂回やキャッシュの汚染につながる恐れがある
  • 3件目のCVE-2026-44761(CVSS 9.1)は、SAP Commerce Cloud(HY_COM 2205、COM_CLOUD 2211、2211-JDK21)における、ハードコードされたサンプル認証情報に起因する脆弱性。SAP Help Portalで従来提供されていた開発・テスト用のサンプル設定スクリプトが、既知の認証情報でOAuth2クライアントを構成してしまう問題で、このサンプルスクリプトを実行しシークレットを差し替えないまま本番環境で運用し続けている場合にのみ悪用が成立する
  • High(高)優先度のノートとしては、Windows版SAProuterのDLLハイジャック脆弱性(CVE-2026-0487、CVSS 8.4)、SAP Integration SuiteのEdge Integration CellにおけるApache Camelの複数脆弱性(CVE-2026-40860ほか、CVSS 8.8)、Change and Transport System Attach Toolのリモートコード実行脆弱性(CVE-2026-58233、CVSS 7.6)、SAP Commerce Cloudに含まれるApache Tomcatの複数脆弱性(CVSS 8.1)が挙げられる
  • 既存ノートの更新としては、2026年6月に公開されたNetWeaver AS Javaのディレクトリトラバーサル(CVE-2026-40128、CVSS 9.0)、SAP Fioriランチパッドのパストラバーサル(CVE-2026-24315)、NetWeaver AS Javaで使用されるApache Log4jライブラリの脆弱性(CVE-2025-68161)の3件が改訂された
  • GitHubセキュリティアドバイザリとしては、ui5/webcomponents-baseのsetThemeRoot()関数における許可リストの回避(CVE-2026-44767)が公開され、クロスオリジンのCSSインジェクションにつながる恐れがある
CVE 対象コンポーネント 深刻度 CVSS
CVE-2026-44747 NetWeaver Application Server ABAP Critical 9.9
CVE-2026-27690 SAP Approuter Critical 9.1
CVE-2026-44761 SAP Commerce Cloud Critical 9.1
CVE-2026-40860ほか SAP Integration Suite(Edge Integration Cell) High 8.8
CVE-2026-0487 SAProuter(Windows) High 8.4
CVE-2026-58233 Change and Transport System Attach Tool High 7.6

最重要:NetWeaver ABAPのメモリ破損脆弱性(CVE-2026-44747)

SAPの説明によれば、CVE-2026-44747は「SAP NetWeaver Application Server ABAPにおいて、認証済みの攻撃者がメモリ管理上の論理的な誤りを悪用してメモリ破損を引き起こし、不正なデータアクセス・改ざん、またはシステム停止につながりうる」脆弱性で、機密性・完全性・可用性のいずれにも高い影響が及ぶとされています。原因はアウトオブバウンズ書き込み(境界外書き込み)の欠陥で、対象となるカーネルバージョンはKRNL64NUCおよびKRNL64UC 7.22〜7.22EXT、KERNEL 7.22〜9.20と広範囲に及び、レガシー環境・現行環境双方のNetWeaver導入に関わります。SAPはSAP Note 3747367を通じたパッチ適用を最優先で行うよう強く推奨していますが、暫定的な回避策として、トランザクションSICFで特定のプロパティを持つすべてのICFノードを無効化する方法も案内されています。カーネルレベルの脆弱性であるため、パッチ適用には設定変更だけでなくカーネルパッチが必要になるケースが多く、ダウンタイムを見込んだ計画が必要です。

Approuterのリクエストスマグリングとサンプル認証情報の放置

CVE-2026-27690は、SAP Approuter(v20.10.0未満のNode.jsパッケージ)に存在するHTTPリクエストスマグリングの脆弱性です。セキュリティ企業Onapsisの説明によれば、この脆弱性は非Cloud Foundry環境のSAP Approuter導入に影響し、未認証の攻撃者が特別に細工したHTTPリクエストを送信することで、リクエストとレスポンスの非同期化(デシンクロナイゼーション)を引き起こせるとされています。Approuterは多くのSAP BTP・Cloud Foundryアプリケーション基盤の最前面に位置し、受信したリクエストをバックエンドのマイクロサービスへ振り分ける役割を担っているため、このスマグリング攻撃が成立すると、認証レイヤーの迂回や、フロントエンドプロキシとバックエンドアプリケーション間の通信の妨害、後段のキャッシュの汚染につながる恐れがあります。

CVE-2026-44761は、SAP Commerce Cloud(HY_COM 2205、COM_CLOUD 2211、2211-JDK21)に影響するハードコード認証情報の問題です。Onapsisによれば、この脆弱性は、SAP Help Portalで従来提供されていた開発・テスト用のサンプル設定スクリプトに起因しており、このスクリプトは既知の認証情報でOAuth2クライアントを構成してしまいます。悪用が成立するのは、顧客がこのサンプルスクリプトを実行し、生成されたOAuth2クライアントのハードコードされたシークレットを差し替えないまま本番環境で使い続けている場合に限られます。未認証の攻撃者はこの既知の認証情報を悪用してアクセストークンを取得し、特定のAPIを呼び出すことで、システムデータの読み取り・改ざんが可能になります。サンプルクライアントを削除済み、またはシークレットを強固で一意な値に置き換え済みの顧客は、この脆弱性の影響を受けません。

High優先度のその他の修正

Windows版SAProuterのDLLハイジャック脆弱性(CVE-2026-0487、CVSS 8.4)は、未認証の攻撃者が信頼できない場所からDLLファイルを読み込ませることで、システム上で悪意あるコードを実行できる問題です。SAP Integration SuiteのEdge Integration Cellでは、Apache Camelに関連する複数の脆弱性(CVE-2026-40860、CVE-2026-40453、CVE-2026-33454)が修正されており、camel mailおよびJMSコンポーネントにおけるメッセージベースのヘッダーインジェクションとデシリアライズの仕組みに影響します。SAPはEdge Integration Cellバージョン8.43.11以降ですべての脆弱性を修正しており、このバージョンではデシリアライズ可能な安全なクラスの許可リストが実装され、悪意あるカスタムクラスがサーバー上でデシリアライズ・実行されることを防いでいます。

Change and Transport System Attach Tool(ctsattach)のリモートコード実行脆弱性(CVE-2026-58233、CVSS 7.6)は、認証済みの攻撃者が特別に細工したアーカイブファイルを提供することで、アプリケーションのライブラリ処理時に安全でないデシリアライズを引き起こし、システム上でリモートコード実行につなげられる問題です。SAP Commerce Cloudに含まれるApache Tomcatの複数脆弱性(CVE-2026-43512、CVE-2026-41293、CVE-2026-43515、CVSS最大8.1)についても修正されており、Onapsisはノートのタイトルに反してSAP Data Hub(パブリッククラウド)およびオンプレミス版のSAP CommerceとSAP Data Hubにもパッチが含まれていると指摘しており、関連するFAQ文書(#3768608)の確認を推奨しています。

中・低優先度の修正とGitHubアドバイザリ

このほかの修正ノートは、S/4HANA、SAP CRM WebClient UI、NetWeaver Enterprise PortalにまたがるXSS・SQLインジェクション・認可チェック不備等で、いずれもMediumまたはLowに格付けされています。あわせて、GitHubセキュリティアドバイザリGHSA-p8gx-753q-v89pとして、ui5/webcomponents-baseのsetThemeRoot()関数における許可リスト回避の脆弱性(CVE-2026-44767)も公開されており、クロスオリジンのCSSインジェクションにつながる恐れがあるとされています。

情報システム部門への示唆

当サイトで継続して報じてきた通り、SAP NetWeaverを巡っては過去にもCVE-2025-31324とCVE-2025-42999を組み合わせた連鎖的なゼロデイ攻撃が実際に悪用され、JSP形式のWebシェルやレッドチームツールの設置にまで至った事例があります。今回のCVE-2026-44747も同じくNetWeaver ABAPのカーネルレベルに存在するメモリ破損の脆弱性であり、CVSS 9.9という最高水準の深刻度が付与されていることから、パッチ適用を通常のメンテナンスウィンドウまで先送りせず、優先的に対応することを強く推奨します。SAP製品は企業の基幹業務・ERPシステムの土台となっているため、パッチが公開された時点で攻撃者側も脆弱性の詳細分析を始めるとみておくべきです。

自組織でSAP Commerce Cloudを運用している場合は、過去に開発・テスト目的でSAP Help Portalのサンプル設定スクリプトを実行したことがないか、実行した場合はそのOAuth2クライアントのシークレットを既に強固な値へ置き換えているかを、今回のCVE-2026-44761の修正を機に必ず確認してください。サンプルスクリプトや初期設定値を本番環境に放置するという問題は、今回に限らず様々な製品で繰り返し発生しているパターンであり、開発・テスト環境で使用した設定値・認証情報を本番移行時に必ず洗い替えるプロセスを、社内のリリース手順として明文化しておくことをお勧めします。あわせて、SAP Approuterを非Cloud Foundry環境で運用している場合は、v20.10.0以降への更新を優先的に検討し、フロントエンドのルーティング層が担う認証・キャッシュ制御の重要性を踏まえた監視体制の強化も検討してください。

出典