SAP, NetWeaver와 Commerce Cloud의 치명적 결함을 수정
SAP는 2026년 6월 보안 패치 패키지의 일환으로 15개의 취약점에 대한 수정을 발표했으며, 여기에는 SAP NetWeaver와 SAP Commerce Cloud에 영향을 미치는 네 가지 치명적인 심각도 결함이 포함됩니다.
NetWeaver는 SAP의 핵심 애플리케이션 플랫폼이자 미들웨어 스택으로, ERP 시스템을 비롯한 다수의 SAP 비즈니스 애플리케이션의 기반을 제공합니다. 애플리케이션 제공, 통합, 인증, 사용자 관리, 데이터 처리와 같은 기능을 담당합니다.
Commerce Cloud는 기업용 전자상거래 플랫폼(구 Hybris)이며, 조직이 B2B 및 B2C 상거래를 위해 온라인 스토어, 디지털 판매 채널, 제품 카탈로그, 고객 계정 및 주문 관리 시스템을 구축하고 운영할 수 있게 합니다.
이번 달 보안 게시판에서 SAP는 다음과 같은 치명적인 취약점이 해결되었다고 명시했습니다:
- CVE-2026-44748 (CVSS 9.9) – SAP NetWeaver AS ABAP 및 ABAP Platform에서 XML 서명 래핑이 발생할 수 있어 SAML 기반 환경에서 인증 우회를 가능하게 함.
- CVE-2026-27671 (CVSS 9.8) – SAP NetWeaver/ABAP Platform Application Server ABAP에서 메모리 손상 결함.
- CVE-2026-22732 (CVSS 9.1) – SAP Commerce Cloud와 SAP Data Hub에 영향을 미치는 Spring Security 관련 취약점.
- CVE-2026-40128 (CVSS 9.0) – SAP NetWeaver Application Server Java의 웹 컨테이너에서 디렉터리 트래버설 취약점.
“SAP NetWeaver Application Server ABAP 및 ABAP Platform은 정상 권한을 가진 인증된 공격자가 유효한 서명 메시지를 획득하고, 변조된 서명 XML 문서를 검증자에게 전송하도록 허용한다”고 CVE-2026-44748 설명에 적혀 있습니다.
“이로 인해 변조된 신원 정보가 수용되어 민감한 사용자 데이터에 무단 접근이 발생하고, 정상적인 시스템 사용이 방해될 수 있습니다.”
CVE-2026-27671의 경우, 공격자는 인증 없이 취약한 엔드포인트에 조작된 RFC 요청을 전송해 커널 검증 오류를 악용함으로써 메모리 손상을 일으킬 수 있습니다.
위의 치명적인 보안 문제 외에도 SAP는 두 개의 고위험 취약점도 해결했습니다. CVE-2026-29145는 Commerce Cloud에 영향을 미치는 여러 Apache Tomcat 결함을 포함하고, CVE-2026-44751은 NetWeaver AS ABAP에서 권한 검사 누락 문제를 다룹니다.
또한 독일 기업인 SAP는 다수의 SAP 제품 전반에 걸쳐 SQL 인젝션, 경로 트래버설, 교차 사이트 스크립팅(XSS), 이메일 스푸핑 및 권한 우회 문제도 해결했습니다.
취약점 상세 내용과 완화 방안 또는 우회 방법은 보안 포털 계정을 보유한 SAP 고객에게만 제공됩니다.
해당 제품을 사용하는 조직은 특히 SAML 인증 결함(CVE-2026-44748)과 메모리 손상 문제(CVE-2026-27671)를 최우선으로 패치를 적용해야 합니다. 두 취약점 모두 심각도가 매우 높게 평가되었으며, 기업 환경에 심각한 영향을 미칠 수 있습니다.
보안 팀은 성공적인 공격의 54%만을 기록하고 14%만을 경고합니다. 나머지는 환경을 눈치채지 못하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.