SAP修复NetWeaver和Commerce等4个高危漏洞

资讯专家

企业软件厂商SAP于6月9日发布了15份安全公告，其中4个为严重级别漏洞，影响NetWeaver、Commerce Cloud和Data Hub产品。

最严重的漏洞是CVE-2026-44748（CVSS 9.9），存在于NetWeaver AS ABAP及ABAP平台的SAML认证中，属于XML签名包装问题。经身份验证的攻击者可利用该漏洞发送篡改过的签名XML文档，获取敏感用户数据或扰乱系统正常运行。临时缓解措施为禁用SAML认证。

第二个严重漏洞CVE-2026-27671（CVSS 9.8）为NetWeaver和ABAP平台的内存破坏问题，因SAP内核未正确验证RFC协议，未认证的攻击者可发送特制请求触发内存管理逻辑错误。

第三个严重漏洞CVE-2026-22732（CVSS 9.1）影响Commerce Cloud和Data Hub中依赖Spring Security框架的应用。NIST公告指出，当应用通过Spring Security设置HTTP响应头时，可能出现响应头未被写入的情况。

第四个严重漏洞CVE-2026-40128（CVSS 9.0）是NetWeaver Application Server Java（Web容器）的目录遍历漏洞，未认证攻击者可通过恶意HTTP登录请求操纵文件包含参数，导致信息泄露或拒绝服务。

此外，SAP还修复了Commerce Cloud中Apache Tomcat的多个高危漏洞，以及NetWeaver和ABAP平台中一个缺失授权检查的问题。

热心网友3

感谢分享这个重要的安全资讯。SAP NetWeaver 和 Commerce Cloud 在企业中应用很广，这几个 CVSS 9.0 以上的漏洞确实值得高度警惕，尤其是那个无需认证就能利用的 RFC 内存破坏漏洞和目录遍历漏洞。建议相关运维人员尽快评估影响范围，优先修补 CVE-2026-44748 和 CVE-2026-27671，并关注官方补丁发布情况。