skip to content
今日の脆弱性
Table of Contents

概要

本日、複数の重要脆弱性が公開されましたが、特にCVSSスコア9.0以上となるCriticalな脆弱性が1件報告されています。 これはSAP NetWeaver AS ABAPおよびABAP PlatformにおけるSAML認証のXML署名ラッピングに関するもので、認証された攻撃者によって機密データへの不正アクセスやシステム停止のリスクがあります。 各組織においては速やかな情報確認と対応が求められます。

CVE-2026-44748: SAML認証におけるXML署名ラッピング脆弱性

  • CVSS: 9.9 (Critical)
  • 影響: SAP_SE / SAP NetWeaver AS ABAP and ABAP Platform (SAP_BASIS 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 918, 919)

概要

この脆弱性(CWE-347)は、SAP NetWeaver Application Server ABAPおよびABAP PlatformのSAML認証メカニズムに存在します。通常権限を持つ認証済み攻撃者が、有効な署名済みメッセージを入手し、改ざんされた署名済みXMLドキュメントを検証側に送信することが可能です。 これにより、改ざんされた身元情報が受け入れられ、機密性の高いユーザーデータへの不正アクセスやシステム運用の潜在的な中断につながる可能性があります。 本脆弱性は、機密性、完全性、可用性のいずれにも大きな影響を与えるため、深刻なリスクをもたらします。

推奨対応

SAPは本脆弱性に対するセキュリティノート(SAP Note 3746332)を公開しています。影響を受けるSAP NetWeaver AS ABAPおよびABAP Platformの利用者には、速やかに当該ノートを参照し、最新のセキュリティパッチを適用することが強く推奨されます。詳細なパッチ情報や回避策については、SAPの公式アドバイザリをご確認ください。

参考

出典