**SAP**は2026年5月のセキュリティアドバイザリを発行し、複数の製品に影響を与える15件の脆弱性を修正しました。これらのアップデートには、**SAP Commerce Cloud**と**S/4HANA**で見つかった2件の重大な脆弱性の修正が含まれており、即時のパッチ適用が必要であることを強調しています。 ### 重大な脆弱性の詳細 最初の重大な脆弱性である**CVE-2026-34263**は、**SAP Commerce Cloud**に存在します。この認証チェックの不備により、認証されていない攻撃者が脆弱なサーバー上で任意のコードを実行できるようになります。**SAP**によると、不適切な**Spring Security**の設定が、悪意のある設定のアップロードとコードインジェクションを可能にし、機密性、完全性、可用性に深刻な影響を与えます。 2番目の重大な脆弱性である**CVE-2026-34260**は、**S/4HANA**に影響します。このSQLインジェクションの脆弱性により、基本的な権限を持つ攻撃者が悪意のあるSQLステートメントを注入できます。アプリケーションは、適切な検証なしに悪意のあるユーザー入力をSQLクエリに直接連結するため、機密性の高いデータベース情報への不正アクセスや、アプリケーションのクラッシュを引き起こす可能性があります。 ### その他の対処された脆弱性 **SAP**の[2026年5月のセキュリティアドバイザリ](https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html)には、1件の高深刻度および11件の中深刻度の問題に対する修正も含まれています。これらには、コマンドインジェクション、認証チェックの不備、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）、およびサービス拒否（DoS）の脆弱性が含まれます。 ### 過去の悪用事例とCISAの関与 **SAP**は、これらの新たに修正された脆弱性について、実際の悪用事例の証拠を発見していませんが、**CISA**は近年、多数の**SAP**セキュリティ脆弱性を既知の悪用脆弱性カタログに追加しています。これには、ランサムウェア攻撃で悪用された2件の脆弱性が含まれており、タイムリーなパッチ適用の重要性を強調しています。 最も最近では、[複数の公式**SAP** npmパッケージが侵害されました](https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/)。これは、開発者のシステムから認証情報と認証トークンを盗むことを目的としたサプライチェーン攻撃でした。 世界最大のエンタープライズソフトウェアベンダーである**SAP**は、世界の上位100社中99社にサービスを提供しています。2025会計年度の総収益は360億ユーロを超えており、同社のセキュリティ体制は世界経済にとって極めて重要です。  ## [Mythosが発見したものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新たなエクスプロイトの波が到来します。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、コントロールが有効であることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)